朝鲜黑客技术猛进 危险性日增
【大纪元2018年04月20日讯】(大纪元记者原泉报导)长期以来被认为具有中等安全威胁水平的朝鲜网络大军正在悄然变身为世界上最复杂和最危险的黑客机器之一。
《华尔街日报》对朝鲜网络攻击项目的调查显示,在过去的18个月中,朝鲜黑手出现在越来越多的网络攻击中,其黑客技术水平迅速提高,攻击目标变得更加让人担忧。网络安全研究人员表示,就在3月份,朝鲜黑客似乎渗透到土耳其银行并在冬季奥运前夕侵入其计算机系统。
朝黑客技术独创性日增 病毒修补能力强
多年来,网络安全专家将朝鲜黑客视为二流水平,他们攻击破坏性强,但相当容易解码。研究人员认为其操作技能远远落后于俄罗斯、以色列和美国等国家。
然而,平壤目前在其编码和技术方面越来越表现出独创性,其水平令研究人员感到惊讶。黑客还将攻击目标集中在中央银行和销售点系统等。由于朝鲜准备与华府进行旨在冻结其核计划的谈判,黑客能力可能会帮助朝鲜拓展财源,以补偿经济制裁带来的损失或威胁外国金融机构。
投诚者和韩国网络情报专家表示,朝鲜培养精英黑客的方式很像一些国家培养奥运会选手。有前途的学生11岁时就被选拔进特殊学校,在那里他们被教授黑客攻击和开发计算机病毒。曾在朝鲜顶尖科技大学学习六年编程和黑客攻击的人说﹕“一旦被选入网络部门,就会被授予一个成为特殊公民的头衔,你可以不必为食物和生活必需品发愁。”他三年前投诚韩国。
为了评估朝鲜的网络项目,《华尔街日报》采访了数十名朝鲜叛逃者、外国网络安全研究人员、韩国政府顾问和军事专家。研究人员强调,抓到黑客很难,他们不能100%确定每一次由朝鲜发起的攻击都是由它的网络战士策划的。
这些专家指出,许多迹象表明黑客技术变得更好。他们表示,在广泛使用的软件中的安全漏洞出现几天后,朝鲜就采取行动,并制作恶意代码,水平之高令反病毒程序无法检测到。当软件或安全公司堵漏洞时,黑客在几天或数星期内进行适应性调整,正如苹果公司发布iPhone操作系统更新一样,微调它们的恶意软件。
研究人员表示,许多朝鲜黑客英语极佳或将其他语言嵌入编码中,使黑客看起来像来自其他国家。他们在闯入智能手机、在圣经应用程序中隐藏恶意软件或用脸书辅助感染目标方面赢得了创新者的声誉。
朝鲜否认参与黑客攻击,包括去年的“想哭(WannaCry)”勒索软件,该软件锁定数字文件,并要求用比特币支付赎金,另一起是2016年,黑客从孟加拉国中央银行窃取了8,100万美元。
近几个月,美国和其他国家政府公开指责朝鲜进行的一系列渗透行为。韩国官员估计,韩国每天遭到朝鲜黑客150万次攻击,即每秒17次。
网络安全研究人员称,去年年底,朝鲜黑客最先发现Adobe Flash多媒体播放器存在漏洞,并连续攻击数月未被发现。根据网络安全公司McAfee LLC的数据,在Adobe于2月份发布安全补丁后,疑似平壤的网络战士修改了恶意软件,将目标锁定在欧洲金融机构,使他们能够窃取有关其网络的敏感信息。
自从2011年金正恩上台以来,朝鲜的网络和导弹技术的突破取得同步发展。 许多人怀疑朝鲜的网络攻击没有明确的目标。一些研究人员将其描述为类似于有组织的犯罪团伙,寻找任何弱点来了解敌人或窃取现金。研究人员普遍认为,随着制裁收紧和与美国谈判日期的临近,该项目越来越关注于获取军事情报或资金收入。
网络安全公司Cybereason Inc.的主任、前国防部分析师鲁斯迪兹(Ross Rustici)说﹕“黑客能力给了他们在谈判桌上更强大的资本。” 去年10月,韩国立法者表示,朝鲜方面窃取了235千兆字节的数据和军事机密,其中包括美韩在战争期间消灭平壤领导层的联合计划。据信朝鲜黑客窃取了数亿美元,包括窃取自动取款机的信用卡信息,1月份盗取日本加密货币兑换商的5.3亿美元。
知情人士透露,他们似乎对虚拟货币尤其感兴趣。去年,疑似朝鲜黑客在脸书上设立虚假账户,装作对比特币感兴趣或在这一行工作的有魅力年轻女性,他们试图与在虚拟货币交易所或银行工作的男性发展友情。
他们在脸书账户列出了包含纽约大学研究中心等机构字眼的链接,使其看起来可信。熟悉调查的人士说,那些黑客引诱人们打开应用程序下载伪装成贺卡或邀请函的文字文件,使他们的系统充斥着恶意软件。
不清楚黑客利用这些骗术获取了什么信息。脸书去年12月宣布,该公司关闭了和朝鲜有关联黑客所使用的一些假账户,该公司表示:“(黑客)冒充其他人,以便做诸如打听某些人的情况并与潜在目标建立联系等事情。”
网络安全研究人员称,朝鲜黑客也在使用一种“水坑式”攻击方式,即人们浏览特定网站时,其电脑会受病毒感染。研究公司表示,平壤 于2016年使用“水坑”瞄准墨西哥、波兰和亚洲的银行,迫使这些机构即防病毒软件生产商改进安全技术。
根据网络安全公司Proofpoint Inc.,朝鲜于2017年6月利用变种的“水坑”再次发动攻击,该公司将该恶意软件命名为PowerRatankba。Proofpoint高级副总裁卡伦贝尔(Ryan Kalember)表示,变种病毒显示朝鲜黑客的改进能力,当研究人员发现病毒、揭露它并公布解决方法后,他们能够制造“新产品”并进行完善。
黑客攻击是朝政府战略 黑客人员接受高强度培训
报导称,朝鲜的黑客项目至少可以追溯到1990年代中期,当时的朝鲜领导人金正日称:“未来的战争将是电脑战争。”
2014年日本索尼公司旗下的索尼影业(Sony Pictures Entertainment)遭攻击事件成为当时的头条新闻,朝鲜黑客入侵致该公司电脑系统宕机、抹掉了公司数据并偷窃大量电邮。后来这些电邮被公布于众。网络研究人员表示,该次攻击事件使用了并不复杂、非常容易获得的清除工具。
投诚人员和韩国网络专家表示,朝鲜政府培养的黑客人员获得位于平壤的大房子,并可免服兵役。一名姓金的投诚者表示曾接受过相关培训,他描述了参加平壤一年一度“黑客马拉松”(hackathon)的紧张准备过程。他说,接受培训者在封闭的环境及高度时间压力下学习如何解决谜题及入侵问题。他表示:“我们为了这场竞赛不分日夜地准备了六个月。”他回忆说,他有一次在训练一整夜后回家吃饭时睡着了,醒来时发现头泡在汤碗里。他说:“参与竞赛是每个人的梦想”。
这名投诚者说,在竞赛中表现优异者,将被指派到海外银行网站“觅钱”,或者瞄准美国等国家的情报系统。他说:“维持核项目及建造更多武器维护朝鲜政权,需要很多钱,很自然入侵银行是第一要务。”
一些接受培训者被送到海外学习语言或参与国际“黑客马拉松”。在印度2015年举办的一次名为CodeChef的国际黑客大赛中,朝鲜黑客在7,600名参赛者中胜出,分别夺得第一、第二和第三名。在CodeChef系统的100,000名编程人员中,名列前15名者有三名是朝鲜人。
朝鲜黑客分A、B、C三组 分别瞄准不同对象
脱北者和韩国研究人员表示,朝鲜的网军中有大约7,000名黑客及支持人员,大致分成三组。A组黑客被国际研究人员称为Lazarus,专门攻击外国实体,许多造成轰动效应的攻击事件都出自他们之手,如“想哭”(WannaCry)勒索软件攻击及索尼影业攻击事件。
研究人员称,B组黑客传统上专注于韩国,搜寻军队或基础设施机密信息。近期他们也开始挖掘其他地方的情报。C组黑客做稍低技术的工作,如发动“网路钓鱼”式的电子邮件攻击。
追踪网络行为的韩国政府网络安全专家Simon Choi表示,朝鲜黑客早期攻击中使用人们熟知的工具和程序,但平壤试图向海外更高明的骇客学习。Choi表示,脸书和推特上一些来自朝鲜的用户开始追踪有名的中国黑客,在他们传授如何编制恶意程序的页面上点赞。一些朝鲜人注册了一些韩国教人入侵智慧手机的网络课程。
McAfee公司表示,朝鲜黑客去年12月只用了七天就学会如何使用一种开放源代码的新式黑客工具Invoke-PSImage,攻击和平昌冬奥会相关机构。McAfee表示,黑客利用该工具客制了一个多数防病毒软件无法检测到的病毒程序下载,并在一个微软文档嵌入的图片中隐藏了病毒文件。
研究人员称,近期黑客利用以前不为外界所知的Adobe Flash软件漏洞进行的攻击行为令他们惊讶。根据韩国和美国网络研究人员,该次攻击发生于去年11月,目标是韩国人。他们使用的病毒程序可以自动附着在通过电子邮件散布的微软办公文档。受害者在浏览Word文档或Excel文档里的Adobe Flash内容时,他们的电脑就会受感染。黑客接下来就可以远程进入这些电脑并盗窃文件。
Adobe公司2月1日推出安全咨询服务,并于五天后发布软件补丁。FireEye表示,该公司怀疑该病毒软件来自朝鲜黑客。
McAfee表示,几个星期后,疑似发起上述攻击的平壤黑客已对病毒程序做出改进,更新的版本被用来于3月初对土耳其金融机构进行攻击。McAfee表示,尽管没有钱财丢失,预计很多包括银行内部系统运作细节的信息被窃取了。
McAfee的高级工程师比克(Christiaan Beek)表示:“这个病毒程序可不是随便一个人能写的。”
韩国网络专家Simon Choi通过网络查找该病毒程序创建人,他把攻击细节拼凑起来搜集信息,最后找到他认为是涉案男黑客的脸书页面。页面登记的家乡和所在城市是平壤。◇
责任编辑:朱涵儒