揭秘 朝鲜 网络战士

各国政府仔细审视朝鲜网络行动、共享网络攻击信息以对抗朝鲜网络攻击威胁

2014 年 11 月 24 日，星期一，索尼影视娱乐公司总部职员的电脑屏幕上收到一幅闪动的画面，上面是一个有着细长白骨手指的骷髅像，下面的信息是：“这只是刚开始。我们已经拿到了你们所有的内部数据……”然后屏幕上跳出一条警告，要求他们乖乖听话，否则就将公司的“最高机密”公之于众。一周后，在索尼发布《刺杀金正恩》电影预告片之际（该电影借号召刺杀金正恩的情节来对这位朝鲜领导人加以嘲讽），黑客公布了索尼公司高管薪酬和公司其他专有信息。

2013 年 3 月 20 日，星期三，“黑暗首尔”恶意软件肆虐韩国，导致计算机、新闻广播服务器和金融机构瘫痪。受袭的电视台在此前曾被朝鲜定为攻击目标，当时金正恩威胁说要摧毁南韩的政府设施。

2011 年 3 月，黑客对韩国政府官方网站和驻韩美军的网络发动了为期 10 天的分布式拒绝服务 (DDos) 攻击，计算机安全公司迈克菲称此次事件为“十日雨绵绵”。攻击结束后，病毒软件自毁同时摧毁被感染系统。

朝鲜坚称自己与这些黑客攻击事件毫无瓜葛，而数字取证调查员则暗示情况并非如此。

美国联邦调查局局长詹姆斯·科米 (James B. Comey)说，在索尼事件中，黑客的“马虎大意”无意间暴露了自己的身份。

科米在谈到黑客发给索尼员工的威胁邮件时说：“有好几次，不知道是因为他们忘了还是遇到技术问题，他们直接连上网络，我们能看到他们。我们可以看到，用来发布和发送电子邮件的是朝鲜专用的 IP 地址。”

在索尼影业黑客攻击事件中，尽管黑客犯下了这样的严重错误，专家们还是认为朝鲜的网络行动有了进步，不过要搞清楚具体进步到哪种程度还是一个艰巨挑战。

独立咨询师詹妮·全 (Jenny Jun)、斯科特·拉弗伊 (Scott LaFoy) 和伊森·索恩 (Ethan Sohn) 联合

发布的研究报告《我们对以前的朝鲜网络攻击活动与能力了解多少？》指出：“由于缺乏可用的开源分析，很难精确确定朝鲜的技术能力到底有多先进。”2014 年 12 月由位于华盛顿特区的战略与国际研究中心 (CSIS) 发布的这份报告还指出：“当然，他们已经逐渐发展演变，从上个十年常用的最基础的分布式拒绝服务网络攻击进化到更具针对性、更复杂、组织更严密的行动，并且对目标系统或网络的榨取利用也细化为几个阶段。他们有能力开展社会工程学攻击、扩展式高级持续性威胁攻击和利用不那么复杂却足够有效的恶意软件。鉴于他们在行动能力上进步迅速，在将来，我们可能看到他们尝试更具破坏性、破坏效果更持久的黑客攻击活动，比如通过破坏供应链或监控与数据获取网络来进行攻击。”

至少有一名专家推测朝鲜的网络行动能力可以排名世界前十。但据战略与国际研究中心战略技术计划主任兼高级研究员詹姆斯·路易斯 (James Lewis) 认为，这并不意味着朝鲜能够实施复杂的计算机病毒攻击。路易斯在 2015 年 2 月告诉《基督教科学箴言报》说：“他们还没有能力开展破坏性最大的那类网络攻击行动。”

不过，各国政府不应低估朝鲜的能力。路易斯还指出，朝鲜还在日本、新加坡和马耳他等国创建了一个国家支持的黑市行动网络。

“这为朝鲜提供了另一个通往技术领域的渠道。”路易斯告诉《基督教科学箴言报》说，“他们有能力利用日本、中国和这个黑市网络。”

专家说，朝鲜集聚的网络大军及其崭露头角的网络能力似乎非常不可思议，特别是考虑到绝大多数朝鲜人甚至从来没有见过互联网。据几名消息人士透露，朝鲜的职业黑客人数大概在 1000 至 3000 人左右。

战略与国际研究中心 2015 年 12 月发表了由詹妮·全、拉弗伊和索恩联合撰写的《朝鲜网络行动：战略与响应》报告。该报告的执行摘要指出：“朝鲜在逐渐崛起为网络空间的重要行为体，其军队和秘密组织都具备展开网络行动的能力。”

这三名研究人员力求创设一个综合开源参考资料库，因为据他们分析，关于朝鲜网络行动的公开信息基本没有。他们还希望能借此改变公众对与朝鲜相关的网络攻击的看法。

“不能将朝鲜网络黑客攻击视为孤立事件，而是应将其看做朝鲜政府大战略下的一系列有意选择。”詹妮·全在战略与国际研究中心讨论起她所在团队的研究工作时说，“我们正在了解网络行动的组织模式，而在短期内朝鲜政府是不太可能放弃这种行动的。”

这份网络行动报告称，朝鲜网络战略的计划和实施是由朝鲜侦察总局和总参谋部这两个机构负责的。下面是报告对这两个机构的分别介绍：

侦察总局 (RGB)：“侦察总局是朝鲜政府的主要情报和秘密行动机构，传统上一直涉足和平时期突击、渗透、破坏等秘密行动，包括 2014 年索尼影视娱乐公司黑客攻击。侦察总局把控着朝鲜的主要网络战能力，主要负责单位是 121 局或可能接替该局的网络战指导局。在侦察总局内部，最近可能会进行结构调整（这种调整也许已经开始），将 121 局提升到更高级别，或者甚至让该局集中负责网络行动。侦察总局的网络能力可能直接为该局的上述行动提供支持。朝鲜这两个具备网络战能力的主要组织中，可能侦察总局在和平时期更为重要和活跃。”

总参谋部 (GSD)：“朝鲜人民军总参谋部负责监督军事行动和军事单位，包括朝鲜不断增长的常规军队网络战能力。总参谋部的任务是制定行动计划，确保一旦朝鲜半岛爆发战争，朝鲜人民军能做好应战准备。目前，总参谋部还没有像侦察总局一样直接卷入网络挑衅行动，但其网络单位却可能被分派任务，做好进行破坏性网络攻击和网络行动的准备，以支援常规军事行动。朝鲜重视军种内的兵种合成以及军种间的联合作战，这意味着网络战单位将会被纳入规模更大的常规军队编制中。”

拉弗伊是前述朝鲜网络行动报告的作者之一，他认为，根据可公开获取的信息来了解朝鲜组织机构内部工作机制被证明是一个宝贵渠道。

“朝鲜从不公布自己的战略，所以我们只能对他们的计划或选择进行推断。”拉弗伊说，“看看侦察总局之类的组织，就能发现这类组织以前是和什么相关的，现在又和什么相关。”

拉弗伊说，朝鲜的网络攻击刚好能够扰乱朝鲜半岛上信息的自然流动，但却不会引发真正的战争。“如果出现暴力冲突，朝鲜既不能控制局面，又不能取胜。”他说，“而网络为他们提供了一个低风险的低级手段，既可以慢慢瓦解现状，又不至于达到武装挑衅或武装攻击的程度。”

首尔媒体科技大学教授韩辉 (Han Hui) 2015 年 11月称，朝鲜的网络攻击战略企图让韩国高达 50% 的信息技术基础设施陷入瘫痪。

据新闻机构合众国际社 (UPI) 报道，韩辉认为：“朝鲜的目标是通过物理和心理攻击来破坏韩国的领导力，并辅之以网络攻击，以造成大规模恐慌。”

韩辉告诉合众国际社说，要应对这一威胁，意味着韩国不仅要创立新机构或扩建已有机构，还必须训练韩国网络人员掌握新技术。

• 除了培训人员以侦测和慑止网络攻击外，战略与国际研究中心的网络行动报告还列出了管理新兴朝鲜网络威胁的四大政策目标：
• 针对朝鲜网络战组织制定系列分级直接响应措施。
• 遏制朝鲜在网络空间的军事行动自由。
• 找出并利用朝鲜的弱点以保持战略平衡。
• 采取损失减少措施和复原力措施，确保关键系统和网络在遭受攻击后仍能继续运行。

詹妮·全强调说，对各国政府的一个重要建议就是，继续以朝鲜的网络能力为主题展开网络防御对话。据詹妮·全及其团队说，开放式信息共享还有一个附加好处，那就是迫使朝鲜改变战术、技术和程序，增加朝鲜每次网络行动的成本和风险。

“在这方面，信息共享真的很重要。”她说，“对朝鲜的攻击方式和攻击工具，我们相互之间共享得越多，就能越好地让各国做好防御准备，因为信息共享能让各国更全面地了解这一威胁，从而减少自身的漏洞。”