由 dawei 副标题#e#
文| 波波夫
朝鲜这几天着实傲娇了一把。
就在全球多个陷入「蓝瘦香菇」勒索病毒(WannaCry)恐慌之时,只有朝鲜安然无恙。在国际空间站工作的宇航员对此决不感到惊讶,他们每隔一个半小时就绕地球一圈,而整个半岛北部的夜空通常是漆黑一片。
作为发达国家社会富贵病的一种,电脑病毒对于朝鲜,几乎就是甜蜜的烦恼。想想一个电力、互联网都没有普及的国度(此处省略 1024 字)。不过,剧情很快出现反转
01
勒索病毒并非高精尖、“想哭”只到账 7 万美元
赛门铁克(Symantec)和卡巴斯基实验室(Kaspersky Lab) 5 月 15 日称,一个名为Lazarus的组织曾用过勒索病毒早期版本的部分编码。多家公司的研究员证实该组织为朝鲜运营。卡巴斯基上月发表报告称,Lazarus近年向台湾、印度、印尼等 18 个地区和国家的金融机构发动攻击,企图窃取巨款。
考虑到近期国际组织加大对朝鲜的制裁力度,勒索病毒很有可能成为朝鲜新的敛财手段。美国中央情报局称朝鲜为「世界上最不开放的经济体」,据估算, 2015 年朝鲜经济总量折合人民币约为 2059 亿元。数据显示,截止到 2014 年,朝鲜拖欠国际贸易债务就超过 628 亿美元,主要债权国为美、国、德、法、日。
不过,从目前的情况看,KPI完成的情况并不理想。美国总统特朗普的国土安全顾问博塞特不久前称,此次勒索病毒共涉及 150 个国家约 30 万台电脑受感染,但用户为了给电脑解锁而支付给黑客的赎金少于 7 万美元。
在计算机病毒王国里,勒索病毒大概可以归为温和的食草类,与其他病毒最大的不同在于手法以及中毒方式。其中一种勒索软件仅是单纯地将受害者的电脑锁起来,而另一种则系统性地加密受害者硬盘上的文件。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权,或是取回受害者根本无从自行获取的解密密钥以便解密档案。
勒索病毒最初兴起于俄罗斯,后来扩散至全球。历史上比较知名的勒索软件有Reveton、CryptoLocker、CryptoLocker.F、CryptoWall等。此前一贯以安全着称的苹果电脑也难逃此劫。第一个在OS X操作系统上运作的勒索软件KeRanger出现在 2016 年,该病毒将.DMG可执行文件伪装成RTF文件,并有三天的潜伏期。
勒索病毒常假借执法机关的名义,恐吓受害者的电脑被发现进行非法行动,如色情、盗版媒体,或是非法的操作系统等。获得赎金是这类病毒的最终目标,为了逃避执法追究,通常要求受害者以比特币支付赎金。仅WinLock在 2010 年就曾非法获取赎金 1500 多万美元。
02
121 局和神秘的朝鲜黑客部队
朝鲜据信在 1980 年代就建立起一支黑客部队。
韩国国防部的报告称,该支黑客部队自 1986 年起,在金日成军事大学接受五年的大学电脑课程,然后部署在国防部总参谋部的指挥自动化局和侦察局,专责电脑大战,入侵韩国、美国和日本的电脑系统,目的是搜集情报或发动电脑攻击。
受制于朝鲜自身的互联网基础设施的羸弱,黑客部队在海外设置有多个秘密据点。朝鲜人民军 121 局被认为是负责黑客攻击的单位,该局成立于 1990 年代末期,编制大约 1800 人,隶属于军方精锐情报机构侦察总局, 2005 年开始在大规运作。
纽约时报报道认为,朝鲜黑客网络庞大,共有 1700 名黑客,另有逾 5000 名受训人员、主管和其他支援人手。为了避免外界怀疑,朝鲜黑客通常会在中国内地、东南亚及欧洲运作,并受到主管密切监控。
朝鲜黑客部队有两大目标,一是获取资金,二是获取情报。
电脑安全软件生产商赛门铁克认为,今年来多起黑客攻击皆指向朝鲜黑客所为——包括 2014 年索尼电影公司遭到网络攻击, 2016 年波兰银行遭恶意软体攻击,以及同年的孟加拉央行遭窃取 8100 万美元。
金融机构是朝鲜黑客的重点攻击目标。俄罗斯知名网络安全公司卡巴斯基指出,涉及多次攻击的Lazarus组织,设于欧洲的伺服器被发现接连至朝鲜 1 个IP位址。卡巴斯基研究人员认为,朝鲜黑客行动已袭击台湾、哥斯达黎加、埃塞俄比亚、加蓬、印度、印尼、伊拉克、肯尼亚、马来西亚、尼日利亚、波兰、泰国及乌拉圭等国家及地区的金融机构。
美国联邦调查局局长James Comey称,「我们可以看到他们使用的IP地址,这些IP地址都是朝鲜的,他们犯了一个错误。这是一个很明显的证据,证明了谁发起的网络攻击,虽然我们没有看到发起攻击的人,但是我们可以知道从哪里开始发起网络攻击的。」
朝鲜黑客还曾成功入侵过韩国军方网络。韩国军方在今年 5 月初承认, 2016 年 9 月,朝鲜黑客突破南韩军电脑网络枢纽国防综合数据中心后,将资料偷走,其中包括应对朝鲜半岛爆发全面战争的《作战计划5027》等机密文件,而韩国军方知道 20 天后才发现资料被窃。
此外,韩国警方在 2016 年 4 月对外披露,朝鲜已透过植入恶意代码,入侵了 160 家韩国政府和SK和韩进(Hanjin)集团的逾 14 万部电脑。据统计,朝鲜对韩国的网络攻击每天每天高达1. 5 万余次。
#p#副标题#e#
朝鲜的黑客攻击,也令比特币的安全问题雪上加霜。Yonhap News估计在 2013 年到 2015 年之间黑客在Bitcoin中盗窃了 88100 美元。韩国网络安全公司Hauri In称:「自 2012 年以来,朝鲜已经跳上了Bitcoin敲诈勒索的舞台。」
03
红星操作系统、光明网和 1024 个IP地址
与朝鲜黑客部队咄咄逼人相比,民间互联网显得十分原始。
直到 2012 年,BBC记者发现,整个平壤只有一家网吧。在那里,打开电脑不是熟悉的windows开机画面和声音,而是朝鲜自研的一套名为红星的操作系统,属于Linux的朝鲜深度定制版。旧版红星操作系统与Windows几乎相同,新版的界面则酷似苹果OS X,所使用的浏览器为Naenara(基于火狐浏览器改版)。
朝鲜在 2000 年前后搭建了供本国民众使用的局域网——光明网,朝鲜国内用户只需到各电话分局办理入网申请手续,即可通过电话线上网,浏览朝鲜的门户网站,同时也有英文版。这些网站主要提供官方的新闻服务,比如朝鲜之声,和国家机关报刊《劳动新闻》,这里也有朝鲜版Facebook,不过,只能在上面发布生日信息和一些祝福信息。
#p#副标题#e#
BBC的报道称,「朝鲜的官方网站都有一个怪癖,每一页都需要包含一个特殊程序。这个程序的效果也许过于直接了当但是非常重要,那就是网页上所有金正恩名字的字体都会自动显示出比其他文字大一些。尽管差别并不是很大,但是足够突出。」
CNN在 2014 年报道称,朝鲜全国只有 1024 个已知IP地址,且并非每个IP地址只针对一台电脑。据估算, 2014 年,朝鲜全国的互联网流量仅相当于美国 1000 户高速网络家庭的流量。
外国人在朝鲜可以接入真正的互联网。《环球时报》曾报道该记者在平壤使用朝鲜的有线互联网(朝鲜目前严禁使用Wifi),每月包月费为 545 美元左右,收费单位为朝鲜星合营会社,网速理论上是2M。
美联社报道称,一家埃及公司在 2008 年前后帮助朝鲜搭建了3G网络,目前已覆盖大部分主要城市。 2013 年,朝鲜开始允许外国人通过3G网络接入互联网,手机上网包月费用为 14 美元左右,每月免费提供50M流量,收费单位为朝鲜Koryolink会社,超出部分按照每兆 1 元人民币左右标准收费。
《现代国际关系》杂志在 2014 年刊登的一篇文章提到了,朝鲜所面临的「网络发展困境」:「一旦接入国际互联网,保持其意识形态的纯洁性、统一性、感召力的难度和成本都在增加,对政权的说服能力构成挑战。」
未来朝鲜更为可行的方式是构建一张蚊子网络:即在享受互联网便利的同时,尽可能地屏蔽和过滤消极影响,维持政权稳定。
欢迎关注波波夫微信订阅号:「我是波波夫」,转载需保留作者、公众号信息,内容需与原文保持一致。