说明
传统电子战还包括对雷达或其他无线电的干扰,不过本文侧重于介绍网络安全相关的电子战部队。
朝鲜121局
朝鲜组建网络战斗部队,第一个对付目标多半是谁?韩国无疑,事实也是如此。
早在十多年前,韩国媒体就开始持续地公开指责来自朝鲜的网络攻击。2010 年之后攻击事件越来越多,仅在 2013 年一年内就发生了多起大型黑客攻击事件,比如:
2013年3月,韩国爆发历史上最大规模的黑客攻击,韩国主要银行、媒体、以及个人计算机均受到影响。大量企业,包括国内主流的银行、电视台计算机都被破坏及瘫痪,导致无法提供服务,大量资料被窃取。
2013年6月,韩国青瓦台总统府在内的16家网站遭攻击,并陷入瘫痪。一些被黑网站首页出现“伟大的金正恩领袖”等红色词句。
2013年7月,韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站等再次遭到分布式拒绝服务(DDoS)攻击,瘫痪时间长达4小时。
虽然韩国方面坚定不移地认定是朝鲜政府干的,却拿不出确凿的技术性证据。最关键的是,就算证据确凿了,又能怎么办呢。
一位匿名韩国政府官员曾向美国媒体 CNN 透露,朝鲜有一个网络作战部门,隶属于朝鲜军方旗下的间谍机构侦察总局。韩国政府认为,在数次朝鲜针对外国机构的网络攻击中,起核心作用的就是121局。
2014年,一个曾担任过朝鲜政府电脑专家的叛逃者张世烈( Jang Se-yul) 向媒体透露,朝鲜有一个人数众多的部队,专门从事针对其他国家的网络战,而且水平超出了外界的想象。在他的口中,神秘的“121局”逐渐浮出水面。
张世烈说,121局大约由1800名网络战士组成,大部分黑客都来自平壤自动化大学。
这个学校是什么来历呢?据韩国国防部资料显示,朝鲜军方从 20 世纪 80 年代开始就十分重视电脑和网络人才的培养。在1981年建立了朝鲜第一所专职培养黑客和电子战部队的秘密军事学院 : 美林学校,后来更其名为平壤自动化大学。
名曰“自动化”,但其实朝鲜人民军内部称其为电子战学校。(宅客:这种称呼风格有点像中国的二炮部队,小时候我真以为只是普通的炮兵部队,后来才知道是现代化火箭军。)
自动化大学的入学筛选非常严格,一个班只收 100 名学生,申请者却有 5000 人之多。人们趋之若鹜的主要原因是朝鲜黑客的生活条件比普通朝鲜人好太多,既有专门提供的繁华区域住房,又能将家人接来同住,还有机会出国去挣美元。
通常,朝鲜黑客会从娃娃抓起,青少年时期就被选拔出来进行专业的黑客训练。在正式加入 121局之前,要接受接近 9年的严格训练。训练后还会根据攻击国家的不同,被分配到不同的小组,派往相应的国家呆上两年以上,适应当地的语言和文化。
在学校的时候,他们每天上六节课,每节课90分钟,学习各种编程语言和操作系统,除了花费大量的时间分析微软的 Windows 操作系统等程序,还要研究如何攻破美国、韩国等敌对国家的电脑信息系统。他们还有一个核心任务,开发属于自己的黑客程序和电脑病毒。在网络作战方面,他们在自主研发的道路上摸索。
张世烈说,朝鲜军方的黑客可以随意上网,完全不受限制,他们很了解外面世界发生的一切,也知道朝鲜是多么的封闭和落后,但是绝大部分依然不愿意离开朝鲜,不愿意背弃自己的国家,哪怕韩国为他们提供工作。
张世烈认为,朝鲜黑客的技术水平不逊于谷歌或者美国中情局的顶级程序员,甚至可能会更好。毕竟 “朝鲜为它准备了 20年。”
一个贫穷、资源匮乏的国家如何下这么大的力气去搞网络战?原因很简单:便宜。
对于朝鲜来说,培养一名网络间谍的收益和培养一名传统士兵的收益完全无法比拟。张世烈说, 朝鲜也许意识到自己在传统战争领域几乎没有打赢的机会,但在数字世界依靠少量资源就可以搅乱大局。
2015年,另一位曾给121局的成员上过电脑课的脱北者金恒光(Kim Heung-Kwang)教授透露,虽然他教的是基础电脑操作而不是黑客技术,但他发现,学生们很喜欢黑客人物,对于能成为“金正恩的网络战士”他们感到很自豪。
金教授称,121 局希望仿造 Stuxnet 蠕虫病毒,也就是名震江湖的震网病毒。美国和以色列黑客就曾经成功用它来破坏伊朗的发电站离心机,造成核电站推迟发电。
疑似事件
索尼影业 刺杀金正恩
2016年 ,孟加拉国、厄瓜多尔、菲律宾以及越南的央行陆续遭遇黑客攻击,2月份,孟加拉国央行被盗走 8100 万美元,多家网络安全公司介入调查,发现大量银行攻击来自同一个神秘的幕后组织——拉撒路(Lazarus),因为这一团伙在攻击银行时所使用的计算机代码类似,攻击手法相同。最重要的是,其中一段用于消除攻击证据的底层代码和 2014 年黑客攻击索尼影业时使用的代码完全相同。
2016年12月韩国国防部对外表示,韩国军方内部网络遭受黑客攻击,导致内含军事机密的资料外泄,并明确表示“怀疑此次黑客攻击是朝鲜所为”,因为此次攻击代码与朝鲜黑客常用代码类似,因此朝鲜所为的可能性极高。
据 CNN 报道,卡巴斯基(Kaspersky)、赛门铁克(Symantec )、火眼(Fireeye) 三家安全公司发布的报告,都把 Lazarus 黑客组织的来源指向了朝鲜。
这些安全机构判定的主要依据有:
重复代码:一般来说黑客会重复利用他们开发出来的代码,在这方面,大量攻击案件具有高度一致性。
密码相同:多次攻击事件都有一个用于保存病毒生成器的加密压缩包,密码是相同的。
韩语元素:Lazarus 的恶意软件样本中,有2/3的网络犯罪可执行文件包含了典型韩语元素。
活动时间:针对 Lazarus 团伙的活动时间调查表明,该团伙的多数人生活在东八区或东九区,也就是中国和朝鲜之间。
2017年初,卡巴斯基实验室又拿出了新的证据,认定去年 Lazarus 犯罪团伙,就是朝鲜黑客。
根据卡巴斯基实验室公布的报告书,Lazarus 团伙在一次攻击行动中犯了一个错误:一台欧洲服务器出现了朝鲜政府专用的 IP 登录记录。
一般来说,黑客攻击时都会用代理服务器来隐藏自己真实的 IP 地址,但1月18日被发现有短暂的几秒钟连接了朝鲜的 IP,这是非常罕见的记录。卡巴斯基据此判定,如果没有人故意入侵了朝鲜政府的电脑来嫁祸,这就意味着和朝鲜有直接关系。
雷锋网也发现一个现象:
Lazarus 在早年间的主要攻击目标是韩国和日本,攻击手段主要为 DDOS(分布式拒绝服务)。近两年他们却无差别地袭击了韩国、印度、马来西亚、波兰、乌拉圭、哥斯达黎加、埃塞俄比亚、加蓬、乌拉圭、台湾等18个金融机构、赌场、加密货币公司等,直接奔着钱去了。
有两位国际安全专家在接受 CNN 采访时怀疑,这可能是朝鲜为其核弹计划敛财,作为一部分资金支持。
补充说明
考虑到 CIA 公布的 Marble 混淆归因工具的存在 , 存在栽赃嫁祸的可能性。
