北韓通過軍方項目教育訓練青少年黑客 使用的網絡戰術及工具十分獨特

4月12日文 在核武器陰雲之下，銀行資金竊取行為似乎顯得并不重要。然而，北韓方面卻決意結合二者。

傳統觀點普遍認為北韓的武器儲備單純是為了維持金氏家族的統治。然而北韓政權如今顯然正逐漸走向現代版本的專制道路，并計劃利用網絡作戰能力與核武器打擊能力進行互相補充。除了核武器研發确實已經吸引到全世界的關注，北韓政府正在網絡領域采取另一項前所未有的舉措，其目标不再僅僅局限于國際社會中的敵對方。

一年多之前，一個名為“拉撒路(lazarus group)”的網絡犯罪組織以孟加拉中央銀行為跳闆從紐約聯邦儲備銀行處竊取得8100萬美元。然而，這已經是黑客失誤之後竊取的數量。這次現代曆史中出現的規模最大的銀行搶劫案件最初目标金額設定為10億美元，但最終由于網絡轉賬操作中存在一項簡單錯誤而導緻效果大打折扣。

缺乏網絡資源及技術的北韓為何具備特殊的入侵技術?-e安全

美國聯邦調查局又接到了新的任務：研究北韓在現代銀行搶劫案中所扮演的角色。

事實上，孟加拉銀行搶劫事件隻是北韓中槍的其中一例，除此之外，調查人員猜測北韓至少從18個不同國家的金融機構處瞄準、入侵并竊取大量資金。截至目前，還從來沒有哪個國家像北韓一樣因試圖從銀行處搶劫資金而遭到指控。

相關閱讀：

全球銀行成北韓黑客襲擊目标

根本停不下來!北韓黑客執着于偷銀行 18國遭殃

專家們表示，北韓竊取資金的目标在于推動其核武器研發，以最終保證這一病态政權繼續存在。

考慮到這些被盜資金的空前巨大的額度，這一行動符合北韓自身的長期戰略以及與國際法相抵觸的種種行為，加之北韓面臨的嚴厲的經濟制裁現狀。

彼得森國際經濟研究所客座研究員史蒂芬·哈加德指出，“北韓方面很擅長不斷尋求收入來源以對抗制裁制度，且完全不顧忌國際法與規範的相關要求，樂于将資源投入到規避制裁中來。其中，網絡收入來源無疑已經成為一大重要支柱。”

如果銀行入侵活動仍在不斷取得成功，那麼北韓方面顯然沒有理由在短期内停止相關行為。

威脅情報企業flashpoint公司東亞地區研究主任讓·康德拉在采訪中表示，如果他身為消費者銀行的管理者，那麼一定會對北韓方面的行動抱有高度警惕。

竊取孟加拉中央銀行8100萬美金的拉撒路黑客集團與平壤的關系

賽門鐵克公司最早将拉撒路集團銀行搶劫活動與北韓日益積極且獨特的網絡攻擊舉動聯系起來。

賽門鐵克公司技術總監艾裡克·陳(eric chien)指出，“我們發現其活動具有極高的不可預測性。人們試圖将北韓黑客整體歸為一類，并探讨其利用怎樣的方式清洗了索尼影業公司的資料并對南韓網絡施以打擊。如果當時有人質疑是北韓嘗試從孟加拉中央銀行處竊取10億美元，那麼我隻能說這颠覆了北韓給我們留下的固有印象。”

本月早些時候，賽門鐵克公司釋出了一系列關于拉撒路集團企圖對波蘭監管機構及銀行發起入侵的線索。此次事件亦被視為有史以來波蘭銀行系統曾經面臨的最為嚴重的網絡安全危機。

自2014年索尼入侵案之後，艾裡克在賽門鐵克公司帶領團隊一直積極追蹤拉撒路集團的後續動向。另外一起針對美國政府的攻擊事件亦被歸因至北韓頭上。研究人員們觀察到，拉撒路集團的野心與影響力均有所增長，但盡管如此，艾裡克表示拉撒路在技術層面上仍然“相當低端”。

他解釋稱，“直到最近，他們才開始采用一些現代且正規的技術，而在最新對波蘭銀行的攻擊當中，他們仍在使用每一位黑客都了解并掌握的正常技術方案。當然，成熟度較低并不代表着危害性就更小。在分析了孟加拉中央銀行遭受的攻擊活動之後，發現真的僅僅是由于存在一個錯字與部分程式上的錯誤，才導緻其原本計劃的10億美元搶劫額最終縮水至8100萬美元。”

北韓不斷發展不對稱網絡能力

對于金氏家族而言，網絡犯罪活動事關國家安全。事實上，北韓的網絡惡意行為隻是其幾十年來持續性挑釁行為的最新表現形式。

加拿大多倫多大學全球事務教授讓·r·琳達賽在外媒采訪中指出，北韓已經開始轉向另一不同領域。過去十年當中，北韓全力進軍網絡層面，并一直緻力于借此進行威懾、回應以及報複。随着美國及南韓釋出更為有效的威懾機制以應對這種事态，北韓方面使用的具體手段亦在不斷變化。

盡管經濟制裁導緻北韓的财政收入無法有效提升，但在過去的38年當中，北韓政府已經投入大量資源用于發展網絡攻擊能力。

根據南韓情報機構釋出的資料，北韓曾經于1986年聘請25名俄羅斯教練為其教育訓練“網絡戰士”。相關訓練課程于米林指揮自動化學院(現更名為金正日軍事學院)内進行，并成為一個帶有傳奇色彩的神秘項目。

一座位于平壤的頂級研究中心——北韓計算機中心，成立于1990年，并在建立之後與世界各地開展公務與商業往來。

拉撒路集團中的黑客成員很可能屬于北韓學生教育訓練項目中的一部分，即通過金日成軍事學院等多家北韓國内頂尖學校幫助學生完成從中學到大學水準的教育。到2000年，由于北韓國内出現長達四年的饑荒狀況并造成達350萬人死亡，是以其開始加大對技術、連接配接以及人才的投資，進而以網際網路為通道逐漸向全世界開放。

康德拉表示，北韓國内可供國際社會進行通路的網際網路基礎設施相當少見，這意味着北韓方面已經投入了顯著力量以發展不對稱網絡能力。通過這種手段，北韓希望能夠成功對抗在軍事層面占據顯著優勢的美國及其盟國。

北韓在核武器、生物武器、電子戰等軍力等方面同步提升

除了入侵金融機構，資訊戰還為北韓提供了能夠在與南韓方面的軍事沖突當中占據主動的新武器。南韓情報機構評估報告指出，由于正常武器儲備較低，北韓開始着力強調非對稱武器的實際需求，且在理論層面北韓已經擁有迅速打擊并引發巨大影響的能力。除網絡武器之外，北韓還緻力于開發核武器、生物武器以及電子戰等軍力提升因素。

根據一名北韓叛逃者于2011年接受采訪時所言，培養少年天才、部署并建立網際網路以及從其它國家購買相關方案，北韓能夠以遠低于購買新武器或者戰鬥機的成本實作同樣的威懾能力。

拉撒路攻擊受北韓偵察總局rgb的直接指揮

根據美國國家情報總監前主任詹姆斯·克拉珀的說法，北韓頂級間諜機構北韓偵察總局(簡稱rgb)直接負責拉撒路集團的管理工作。在rgb當中，不同集團負責處理網絡戰中的不同層面事務。rgb的110研究所，即技術偵察組負責直接對拉撒路集團下達指令。

目前已經有證據表明，110研究所曾經向各國際私營及公共行業派出多位操作人員，以掩護其惡意活動。

拉撒路集團于2009年正式開始活動，同年爆發了特洛伊行動，其間南韓軍事機密因遭遇網絡攻擊而被竊取。當年，先後出現了針對南韓及美國多個目标的拒絕服務攻擊。自此之後，北韓每一年都會對各金融機構及其它目标發動攻擊，但其中規模最大且成效最為明顯的無疑為孟加拉中央銀行搶劫案件。全部攻擊皆由拉撒路集團負責執行。在此之前還沒有哪個民族國家會直接從銀行賬戶中竊取資金，這也是北韓apt組織第一次走出東亞地區。

哈加德則估計稱，在過去20年當中，北韓通過各種形式的非法活動每年獲得高達數億美元的外彙收入(占其總體外彙收入的10%到15%)。

北韓黑客缺乏系統的學習和資源，緻戰術及工具等十分獨特

在談到拉撒路所使用的工具、戰術與程式時，賽門鐵克公司的艾裡克表示其整體軟體包表現出非常獨特的屬性。

他解釋稱，在審視其編寫代碼的方式時，可以發現代碼皆以不同方式進行編寫。如果不具備網際網路資源作為參考且缺少經典的教程與計算機科學學曆知識，那麼執行者很可能會采取完全不同于傳統的方式嘗試自己的思路。北韓方面的代碼采取非标準、非傳統編寫方法，這幾乎與北韓國内大學的運作方式完全吻合。

一位不願透露姓名的北韓大學前任教師在接受采訪時談到，學生們隻能閱讀書籍并通過緩慢且受到高度監控的網際網路進行資料查詢。相較于世界其它地區的黑客們能夠單純依靠谷歌解決技術問題的現狀，北韓的學生們顯然已經被徹底孤立。而這種隔離化特性所帶來的直接結果，就是北韓黑客往往采取迥異于世界其它地區網絡犯罪分子的實施政策。

艾裡克指出，“我們再次以索尼事件作為起點。明顯可以看到，當他們入侵索尼内部環境後，他們選擇顯示頭骨與交叉骨骼這一閃爍動畫，并将‘拉撒路’這一名稱顯示在螢幕下方。雖然這種作法有些可笑，但遺憾的是索尼影業公司确實是以而深受損害。”

不過如今的情況正在緩慢變化，因為北韓的網絡操作人員正在越來越多地采取現代化戰術，例如澆水洞攻擊。

艾裡克在談到近期波蘭多家銀行遭受入侵時稱，未見過北韓黑客對現成代碼進行複用。如果是一名身處美國的普通人打算從事黑客活動，那麼其最初就會選擇代碼複用作為起步; 畢竟網際網路上存在大量現成工具，他們能夠借此學習知識并摸索攻擊途徑。而拉撒路目前才剛剛進入這一階段。

入侵技術高超但卻很難将竊取的資金轉出

根據康德拉的介紹，拉撒路集團确實擁有高超的磁盤清除類惡意軟體與破壞性攻擊技術水準，而且他們隻差一點就徹底完成了自己的資金搶劫目标。北韓黑客似乎在努力利用獨有的方式入侵金融機構，但卻很難借此将資金成功轉出;事實證明，他們在資金竊取方面的水準遠不及入侵能力。

盡管在孟加拉中央銀行攻擊中成功獲得了8100萬美元，但他們原本的目标額度高達10億美元。我認為他們正随時間推移不斷學習及發展，而且可以肯定地講，他們如今的技術水準已經遠超2009年剛剛出現時的狀态，不過這一點從資金盜竊的角度來看還沒有得到切實驗證。”

本文轉自d1net（轉載）