朝鲜通过军方项目培训青少年黑客 使用的网络战术及工具十分独特
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全4月12日文 在核武器阴云之下,银行资金窃取行为似乎显得并不重要。然而,朝鲜方面却决意结合二者。
传统观点普遍认为朝鲜的武器储备单纯是为了维持金氏家族的统治。然而朝鲜政权如今显然正逐步走向现代版本的专制道路,并计划利用网络作战能力与核武器打击能力进行相互补充。除了核武器研发确实已经吸引到全世界的关注,朝鲜政府正在网络领域采取另一项前所未有的举措,其目标不再仅仅局限于国际社会中的敌对方。
一年多之前,一个名为拉撒路集团的网络犯罪组织以孟加拉中央银行为跳板从纽约联邦储备银行处窃取得8100万美元。然而,这已经是黑客失误之后窃取的数量。这次现代历史中出现的规模最大的银行抢劫案件最初目标金额设定为10亿美元,但最终由于网络转账操作中存在一项简单错误而导致效果大打折扣。
美国联邦调查局又接到了新的任务:研究朝鲜在现代银行抢劫案中所扮演的角色。
事实上,孟加拉银行抢劫事件只是朝鲜中枪的其中一例,除此之外,调查人员猜测朝鲜至少从18个不同国家的金融机构处瞄准、入侵并窃取大量资金。截至目前,还从来没有哪个国家像朝鲜一样因试图从银行处抢劫资金而遭到指控。
专家们表示,朝鲜窃取资金的目标在于推动其核武器研发,以最终保证这一病态政权继续存在。
考虑到这些被盗资金的空前巨大的额度,这一行动符合朝鲜自身的长期战略以及与国际法相抵触的种种行为,加之朝鲜面临的严厉的经济制裁现状。
彼得森国际经济研究所客座研究员史蒂芬·哈加德指出,“朝鲜方面很擅长不断寻求收入来源以对抗制裁制度,且完全不顾忌国际法与规范的相关要求,乐于将资源投入到规避制裁中来。其中,网络收入来源无疑已经成为一大重要支柱。”
如果银行入侵活动仍在不断取得成功,那么朝鲜方面显然没有理由在短期内停止相关行为。
威胁情报企业Flashpoint公司东亚地区研究主任让-康德拉(Jon Condra)在采访中表示,如果他身为消费者银行的管理者,那么一定会对朝鲜方面的行动抱有高度警惕。
窃取孟加拉中央银行8100万美金的拉撒路黑客集团与平壤的关系
赛门铁克公司最早将拉撒路集团银行抢劫活动与朝鲜日益积极且独特的网络攻击举动联系起来。
赛门铁克公司技术总监艾里克-陈(Eric Chien)指出,“我们发现其活动具有极高的不可预测性。人们试图将朝鲜黑客整体归为一类,并探讨其利用怎样的方式清洗了索尼影业公司的数据并对韩国网络施以打击。如果当时有人质疑是朝鲜尝试从孟加拉中央银行处窃取10亿美元,那么我只能说这颠覆了朝鲜给我们留下的固有印象。”
本月早些时候,赛门铁克公司发布了一系列关于拉撒路集团企图对波兰监管机构及银行发起入侵的线索。此次事件亦被视为有史以来波兰银行系统曾经面临的最为严重的网络安全危机。
自2014年索尼入侵案之后,艾里克在赛门铁克公司带领团队一直积极追踪拉撒路集团的后续动向。另外一起针对美国政府的攻击事件亦被归因至朝鲜头上。研究人员们观察到,拉撒路集团的野心与影响力均有所增长,但尽管如此,艾里克表示拉撒路在技术层面上仍然“相当低端”。
他解释称,“直到最近,他们才开始采用一些现代且正规的技术,而在最新对波兰银行的攻击当中,他们仍在使用每一位黑客都了解并掌握的常规技术方案。当然,成熟度较低并不代表着危害性就更小。在分析了孟加拉中央银行遭受的攻击活动之后,发现真的仅仅是由于存在一个错字与部分程序上的错误,才导致其原本计划的10亿美元抢劫额最终缩水至8100万美元。”
朝鲜不断发展不对称网络能力
对于金氏家族而言,网络犯罪活动事关国家安全。事实上,朝鲜的网络恶意行为只是其几十年来持续性挑衅行为的最新表现形式。
加拿大多伦多大学全球事务教授让-R.-琳达赛在接受外媒采访中指出,朝鲜已经开始转向另一不同领域。过去十年当中,朝鲜全力进军网络层面,并一直致力于借此进行威慑、回应以及报复。随着美国及韩国发布更为有效的威慑机制以应对这种事态,朝鲜方面使用的具体手段亦在不断变化。
尽管经济制裁导致朝鲜的财政收入无法有效提升,但在过去的38年当中,朝鲜政府已经投入大量资源用于发展网络攻击能力。
根据韩国情报机构发布的资料,朝鲜曾经于1986年聘请25名俄罗斯教练为其培训“网络战士”。相关训练课程于米林指挥自动化学院(现更名为金正日军事学院)内进行,并成为一个带有传奇色彩的神秘项目。
一座位于平壤的顶级研究中心——朝鲜计算机中心,成立于1990年,并在建立之后与世界各地开展公务与商业往来。
拉撒路集团中的黑客成员很可能属于朝鲜学生培训项目中的一部分,即通过金日成军事学院等多家朝鲜国内顶尖学校帮助学生完成从中学到大学水平的教育。到2000年,由于朝鲜国内出现长达四年的饥荒状况并造成达350万人死亡,因此其开始加大对技术、连接以及人才的投资,进而以互联网为通道逐步向全世界开放。
康德拉表示,朝鲜国内可供国际社会进行访问的互联网基础设施相当少见,这意味着朝鲜方面已经投入了显著力量以发展不对称网络能力。通过这种手段,朝鲜希望能够成功对抗在军事层面占据显著优势的美国及其盟国。
朝鲜在核武器、生物武器、电子战等军力等方面同步提升
除了入侵金融机构,信息战还为朝鲜提供了能够在与韩国方面的军事冲突当中占据主动的新武器。韩国情报机构评估报告指出,由于常规武器储备较低,朝鲜开始着力强调非对称武器的实际需求,且在理论层面朝鲜已经拥有迅速打击并引发巨大影响的能力。除网络武器之外,朝鲜还致力于开发核武器、生物武器以及电子战等军力提升因素。
根据一名朝鲜叛逃者于2011年接受采访时所言,培养少年天才、部署并建立互联网以及从其它国家购买相关方案,朝鲜能够以远低于购买新武器或者战斗机的成本实现同样的威慑能力。
拉撒路攻击受朝鲜侦察总局RGB的直接指挥
根据美国国家情报总监前主任詹姆斯·克拉珀的说法,朝鲜顶级间谍机构朝鲜侦察总局(简称RGB)直接负责拉撒路集团的管理工作。在RGB当中,不同集团负责处理网络战中的不同层面事务。RGB的110研究所,即技术侦察组负责直接对拉撒路集团下达命令。
目前已经有证据表明,110研究所曾经向各国际私营及公共行业派出多位操作人员,以掩护其恶意活动。
拉撒路集团于2009年正式开始活动,同年爆发了特洛伊行动,其间韩国军事机密因遭遇网络攻击而被窃取。当年,先后出现了针对韩国及美国多个目标的拒绝服务攻击。自此之后,朝鲜每一年都会对各金融机构及其它目标发动攻击,但其中规模最大且成效最为明显的无疑为孟加拉中央银行抢劫案件。全部攻击皆由拉撒路集团负责执行。在此之前还没有哪个民族国家会直接从银行账户中窃取资金,这也是朝鲜APT组织第一次走出东亚地区。
哈加德则估计称,在过去20年当中,朝鲜通过各种形式的非法活动每年获得高达数亿美元的外汇收入(占其总体外汇收入的10%到15%)。
朝鲜黑客缺乏系统的学习和资源 致战术及工具等十分独特
在谈到拉撒路所使用的工具、战术与程序时,赛门铁克公司的艾里克表示其整体软件包表现出非常独特的属性。
他解释称,在审视其编写代码的方式时,可以发现代码皆以不同方式进行编写。如果不具备互联网资源作为参考且缺少经典的教程与计算机科学学历知识,那么执行者很可能会采取完全不同于传统的方式尝试自己的思路。朝鲜方面的代码采取非标准、非传统编写方法,这几乎与朝鲜国内大学的运作方式完全吻合。
一位不愿透露姓名的朝鲜大学前任教师在接受采访时谈到,学生们只能阅读书籍并通过缓慢且受到高度监控的互联网进行资料查询。相较于世界其它地区的黑客们能够单纯依靠谷歌解决技术问题的现状,朝鲜的学生们显然已经被彻底孤立。而这种隔离化特性所带来的直接结果,就是朝鲜黑客往往采取迥异于世界其它地区网络犯罪分子的实施策略。
艾里克指出,“我们再次以索尼事件作为起点。明显可以看到,当他们入侵索尼内部环境后,他们选择显示头骨与交叉骨骼这一闪烁动画,并将‘拉撒路’这一名称显示在屏幕下方。虽然这种作法有些可笑,但遗憾的是索尼影业公司确实因此而深受损害。”
不过如今的情况正在缓慢变化,因为朝鲜的网络操作人员正在越来越多地采取现代化战术,例如浇水洞攻击。
艾里克在谈到近期波兰多家银行遭受入侵时称,未见过朝鲜黑客对现成代码进行复用。如果是一名身处美国的普通人打算从事黑客活动,那么其最初就会选择代码复用作为起步; 毕竟互联网上存在大量现成工具,他们能够借此学习知识并摸索攻击途径。而拉撒路目前才刚刚进入这一阶段。
入侵技术高超但却很难将窃取的资金转出
根据康德拉的介绍,拉撒路集团确实拥有高超的磁盘清除类恶意软件与破坏性攻击技术水平,而且他们只差一点就彻底完成了自己的资金抢劫目标。朝鲜黑客似乎在努力利用独有的方式入侵金融机构,但却很难借此将资金成功转出;事实证明,他们在资金窃取方面的水平远不及入侵能力。
尽管在孟加拉中央银行攻击中成功获得了8100万美元,但他们原本的目标额度高达10亿美元。我认为他们正随时间推移不断学习及发展,而且可以肯定地讲,他们如今的技术水平已经远超2009年刚刚出现时的状态,不过这一点从资金盗窃的角度来看还没有得到切实验证。”
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。