比核武器更神秘的朝鲜黑客部队：实力简直逆天

　　本文作者：谢幺，雷锋网网络安全作者。

　　最致命的可能是张牙舞爪的猛兽，也可能是脚边悄然无声的蛇蝎。

　　前不久朝鲜大核搞核试验的消息闹得沸沸扬扬，却没有太多人另一则新闻：

　　2017年4月底韩国媒体称，网络安全公司赛门铁克发布了一个报告，估测朝鲜网络攻击集团对世界多国银行发动了攻击，窃取资金超过一千亿韩元（折合人民币6.13亿元）。

　　除此之外，已有证据表明，朝鲜网络攻击的目标包括孟加拉国、越南、厄瓜多尔、波兰等国银行，目前已经从这些国家的银行盗窃了至少9400万美元。

　　核武器研发靠“烧钱”来提高震慑力，网络武器却能肆无忌惮地从其他国家抢钱。这也难怪有媒体报道，金正恩曾说过这样一句话：“网络战能力是与核武器和导弹共同保障我军打击能力的尚方宝剑”。

　　这让人不免联想到上个月在监狱病逝的，80年代香港三大贼王之一的叶继欢。他生前曾多次手持AK47冲锋枪对射警方，搞了一大堆军火，抢了整条街的金店，最后抢到的总值也就1000万港元。而2016年底发生的孟加拉国央行盗窃案，黑客或许只用了一台电脑一根网线就偷走了8100万美元，创造了有史以来最大的银行抢劫案。该案件目前已被多个安全组织认定为朝鲜黑客所为。

　　据雷锋网了解，孟加拉银行盗窃案中，黑客因为转账时把转账机构的名字中的“foundation”被写成了“fandation”而被发现，否则他们将盗走10亿美元。10亿美元什么概念？叶继欢拿着AK-47当烟花放，天天横扫金店也得连着抢两年，还得全年无休。

　　关于朝鲜黑客部队的说法其实由来已久，说法不一。今天雷锋网宅客频道就和大家一起扒一扒朝鲜黑客的故事。

　　神秘的121局

　　朝鲜组建网络战斗部队，第一个对付目标多半是谁？韩国无疑，事实也是如此。

　　早在十多年前，韩国媒体就开始持续地公开指责来自朝鲜的网络攻击。2010年之后攻击事件越来越多，仅在2013年一年内就发生了多起大型黑客攻击事件，比如：

　　2013年3月，韩国爆发历史上最大规模的黑客攻击，韩国主要银行、媒体、以及个人计算机均受到影响。大量企业，包括国内主流的银行、电视台计算机都被破坏及瘫痪，导致无法提供服务，大量资料被窃取。

　　2013年6月，韩国青瓦台总统府在内的16家网站遭攻击，并陷入瘫痪。一些被黑网站首页出现“伟大的金正恩领袖”等红色词句。

　　2013年7月，韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站等再次遭到分布式拒绝服务(DDoS)攻击，瘫痪时间长达4小时。

　　虽然韩国方面坚定不移地认定是朝鲜政府干的，却拿不出确凿的技术性证据。最关键的是，就算证据确凿了，又能怎么办呢？

　　从那之后，这个从外部看来与世隔绝的国家，朝鲜的黑客实力开始得到真正意义上的广泛。人们越来越好奇，这样一个国家的网络作战水平到底怎样，他们又是怎么培养出一流水准黑客的呢？

　　一位匿名韩国政府官员曾向美国媒体CNN透露，朝鲜有一个网络作战部门，隶属于朝鲜军方旗下的间谍机构侦察总局。韩国政府认为，在数次朝鲜针对外国机构的网络攻击中，起核心作用的就是121局。

　　2014年，一个曾担任过朝鲜政府电脑专家的叛逃者张世烈（Jang Se-yul）向媒体透露，朝鲜有一个人数众多的部队，专门从事针对其他国家的网络战，而且水平超出了外界的想象。在他的口中，神秘的“121局”逐渐浮出水面。

　　张世烈说，121局大约由1800名网络战士组成，大部分黑客都来自平壤自动化大学。

　　这个学校是什么来历呢？据韩国国防部资料显示，朝鲜军方从20世纪80年代开始就十分重视电脑和网络人才的培养。在1981年建立了朝鲜第一所专职培养黑客和电子战部队的秘密军事学院：美林学校，后来更其名为平壤自动化大学。

　　名曰“自动化”，但其实朝鲜人民军内部称其为电子战学校。（宅客：这种称呼风格有点像中国的二炮部队，小时候我真以为只是普通的炮兵部队，后来才知道是现代化火箭军。）

　　自动化大学的入学筛选非常严格，一个班只收100名学生，申请者却有5000人之多。人们趋之若鹜的主要原因是朝鲜黑客的生活条件比普通朝鲜人好太多，既有专门提供的繁华区域住房，又能将家人接来同住，还有机会出国去挣美元。

　　通常，朝鲜黑客会从娃娃抓起，青少年时期就被选拔出来进行专业的黑客训练。在正式加入121局之前，要接受接近9年的严格训练。训练后还会根据攻击国家的不同，被分配到不同的小组，派往相应的国家呆上两年以上，适应当地的语言和文化。

　　在学校的时候，他们每天上六节课，每节课90分钟，学习各种编程语言和操作系统，除了花费大量的时间分析微软的Windows操作系统等程序，还要研究如何攻破美国、韩国等敌对国家的电脑信息系统。他们还有一个核心任务，开发属于自己的黑客程序和电脑病毒。在网络作战方面，他们在自主研发的道路上摸索。

　　张世烈说，朝鲜军方的黑客可以随意上网，完全不受限制，他们很了解外面世界发生的一切，也知道朝鲜是多么的封闭和落后，但是绝大部分依然不愿意离开朝鲜，不愿意背弃自己的国家，哪怕韩国为他们提供工作。

　　张世烈认为，朝鲜黑客的技术水平不逊于谷歌或者美国中情局的顶级程序员，甚至可能会更好。毕竟“朝鲜为它准备了20年。”

　　一个贫穷、资源匮乏的国家如何下这么大的力气去搞网络战？原因很简单：便宜。

　　对于朝鲜来说，培养一名网络间谍的收益和培养一名传统士兵的收益完全无法比拟。张世烈说，朝鲜也许意识到自己在传统战争领域几乎没有打赢的机会，但在数字世界依靠少量资源就可以搅乱大局。

　　2015年，另一位曾给121局的成员上过电脑课的脱北者金恒光（Kim Heung-Kwang）教授透露，虽然他教的是基础电脑操作而不是黑客技术，但他发现，学生们很喜欢黑客人物，对于能成为“金正恩的网络战士”他们感到很自豪。

　　金教授称，121局希望仿造Stuxnet蠕虫病毒，也就是名震江湖的震网病毒。美国和以色列黑客就曾经成功用它来破坏伊朗的发电站离心机，造成核电站推迟发电。

　　黑客冲冠一怒为金正恩？

　　在2014年之前，朝鲜黑客活动消息多来自于韩国媒体，直到金元帅怒了。

　　2014年，索尼影业出了一部黑金正恩的电影《The Interview》（又名：刺杀金正恩），故事讲的是一个记者借着采访机会去刺杀金正恩的故事。情节不再赘述，我们单来看看他把金正恩黑成什么样？随便举几个例子：

　　1.他生活在父亲的阴影之下，时常觉得自己像个废弃物。

　　2.金正恩最爱看美剧《生活大爆炸》，美国流行女歌手Katy Perry的歌把他唱哭了。

　　3.影片里的金正恩有点Gay里Gay气的，请通过画面自行体会。

　　此外，片中的金正恩还把屎拉在裤子里导致采访中止。最后，金正恩乘坐的直升机爆炸了……他死了。

　　就这样的情节，换在其他国家都指不定会发生什么，更何况朝鲜。该片在公布预告片时，就有朝鲜官方媒体发出警告，称好莱坞上映有关刺杀朝鲜领导人的喜剧电影属于“战争行为”，如果美国政府默认或支持电影上映，我们将采取果断而无情的对策”。

　　此后，朝鲜当局又多次严厉斥责该电影“令人作呕”，甚至连美国国内也有不少人觉得这电影“不负责任”，会加剧地区局势紧张。这种情况下，索尼公司不依不挠，依然紧锣密鼓准备公映该片。于是他们印证了“什么叫不作死就不会死”。

　　12月，索尼影业的网络遭遇自称“和平护卫队”的黑客团体的攻击，大量信息被泄露，从员工安全信息到内部高管的邮件，以及大量新片的种子外泄、电影剧本，甚至索尼高管薪酬的详细构成全部流出。

　　当月16日，黑客发出了最后通牒，警告所有前去看片的观众“别忘了911事件”，威胁要在放映地点发动袭击，吓得美国多家院线纷纷决定撤销放映该电影。17日，索尼影业也不得不发表声明，决定取消该电影在全球的一切发行计划。

　　袭击事件发生数月后，影响依然在发酵，电脑故障频发，电邮持续被冻结等等。最终，因为黑客攻击导致大量商业机密泄露以及其他不良影响，索尼影业董事长艾米·帕斯卡引咎辞职。那次黑客袭击也成为了史上最严重的十次黑客袭击之一。

　　因为一部电影，索尼影业大概哭瞎了。

　　然而，朝鲜官方并不承认这次攻击，也没有直接的技术性证据表明就是他们干的。越是这样，就越让人琢磨不透，令人惴惴不安。一些安全公司和研究者开始专门就这些大型黑客攻击事件展开研究。

　　抓住小辫子

　　2016年，孟加拉国、厄瓜多尔、菲律宾以及越南的央行陆续遭遇黑客攻击，2月份，孟加拉国央行被盗走8100万美元，多家网络安全公司介入调查，发现大量银行攻击来自同一个神秘的幕后组织——拉撒路（Lazarus），因为这一团伙在攻击银行时所使用的计算机代码类似，攻击手法相同。最重要的是，其中一段用于消除攻击证据的底层代码和2014年黑客攻击索尼影业时使用的代码完全相同。

　　2016年12月韩国国防部对外表示，韩国军方内部网络遭受黑客攻击，导致内含军事机密的资料外泄，并明确表示“怀疑此次黑客攻击是朝鲜所为”，因为此次攻击代码与朝鲜黑客常用代码类似，因此朝鲜所为的可能性极高。

　　据CNN报道，卡巴斯基（Kaspersky）、赛门铁克（Symantec）、火眼（Fireeye)三家安全公司发布的报告，都把Lazarus黑客组织的来源指向了朝鲜。

　　这些安全机构判定的主要依据有：

　　重复代码：一般来说黑客会重复利用他们开发出来的代码，在这方面，大量攻击案件具有高度一致性。

　　密码相同：多次攻击事件都有一个用于保存病毒生成器的加密压缩包，密码是相同的。

　　韩语元素：Lazarus的恶意软件样本中，有2/3的网络犯罪可执行文件包含了典型韩语元素。

　　活动时间：针对Lazarus团伙的活动时间调查表明，该团伙的多数人生活在东八区或东九区，也就是中国和朝鲜之间。

　　2017年初，卡巴斯基实验室又拿出了新的证据，认定去年Lazarus犯罪团伙，就是朝鲜黑客。

　　根据卡巴斯基实验室公布的报告书，Lazarus团伙在一次攻击行动中犯了一个错误：一台欧洲服务器出现了朝鲜政府专用的IP登录记录。

　　一般来说，黑客攻击时都会用代理服务器来隐藏自己真实的IP地址，但1月18日被发现有短暂的几秒钟连接了朝鲜的IP，这是非常罕见的记录。卡巴斯基据此判定，如果没有人故意入侵了朝鲜政府的电脑来嫁祸，这就意味着和朝鲜有直接关系。

　　雷锋网也发现一个现象：

　　Lazarus在早年间的主要攻击目标是韩国和日本，攻击手段主要为DDOS（分布式拒绝服务）。近两年他们却无差别地袭击了韩国、印度、马来西亚、波兰、乌拉圭、哥斯达黎加、埃塞俄比亚、加蓬、乌拉圭、台湾等18个金融机构、赌场、加密货币公司等，直接奔着钱去了。

　　有两位国际安全专家在接受CNN采访时怀疑，这可能是朝鲜为其核弹计划敛财，作为一部分资金支持。

　　真相如何？

　　你以为到此就讲完了吗？NO

　　稍稍注意，你会发现上文提到的关于朝鲜的负面信息，绝大多数来自韩国媒体，其次是美国、日本媒体。例如本文最开头那句“金正恩曾说：网络战能力是与核武器和导弹共同保障我军打击能力的尚方宝剑”，其实就是日本媒体报道的。

　　在对待朝鲜半岛问题，日本一些媒体不负责任的态度已经被大家习以为常。比如今年1月底份，日本有一家小媒体放话美军可能在2月底突袭朝鲜，轰炸700个军事据点。日本各大媒体纷纷转引报道，结果最后发现最初的消息源竟然来自于个人博客网站。

　　中国也曾经历过类似的事件。2009年Google等几十家美国公司受到黑客的攻击后，《纽约时报》就在没有充分证据的情况下，就称该攻击和中国的蓝翔技校有关，之后也不了了之。

　　很多年前，西方媒体就不断对中国黑客威胁论进行鼓吹。如今又多俄罗斯和朝鲜两大角色。

　　万一是嫁祸呢？

　　通过技术认定朝鲜黑客的安全机构也出过一些乌龙事件。

　　2017年3月，卡巴斯基实验室表示，过去一年中公司发现的62个加密勒索软件家族中，47个由俄罗斯人或说俄语的人开发。

　　结果没过多久，另一家安全公司的研究者就发现，许多恶意软件样本中的俄文看起来狗屁不通，看起来像是有人故意用翻译软件将语言翻译成俄文的，企图嫁祸俄罗斯人。

　　到了2017年3月，维基解密曝光美国中情局的Vult7网络武器军火库，揭露了美国中情局（CIA）企图通过一款叫“Marble”的工具，将病毒、恶意代码、木马的真实源代码进行混淆，让取证调查人员无法溯源到CIA身上，顺便嫁祸给其他国家。

　　Marble的源代码中有中文、俄文、朝鲜文、阿拉伯文、伊朗文字……

　　从这个角度来看，上文提到的所谓“朝鲜黑客”的证据：

　　重复代码、密码相同、韩语元素、活动时间符合东八区九区、短暂连接朝鲜IP……

　　谁又能保证，这些不是另一种更高明的嫁祸行为呢？

　　引用新华网记者杨骏的文字：

　　嫁祸“外国黑客”，个别政客和党派可以增加政治资本，情报机构和军方可以获得新的授权或预算，相关承包商可以获得各类订单，一些利益团体才能维持网络霸权——这犹如一条完整的产业链。因此，不拉黑其他国家，如何过得滋润呢？

　　真实情况如何，宅客不做猜测，这里只为读者们提供更多信息量补充。不过话说回来，不正因为真相扑朔迷离，才显得朝鲜黑客更加神秘？

　　附一则消息：就在雷锋网编辑撰文时（5月2日），韩国媒体又发出报道，韩国防部表示已经发现确凿证据表明此前入侵韩军方网络的是朝鲜黑客。雷锋网看了一下，证据大致还是上文提到的那些。