黑客網軍+壟斷內存 IT半島能走多遠？_風聞

今天（2018年9月20日）南北朝鮮領導人一起來到白頭山，為朝鮮統一站台。從眼下的經濟水平來看，南北朝鮮經濟差異巨大，很難“求同”，但如果回顧近期的經濟事件，可以看到南北朝鮮竟默默地選擇了類似的發展路線。

 最近一則新聞：

9月6日的新聞發佈會上，美國政府正式指控朝鮮政府，稱其是索尼影業黑客事件、WannaCry勒索軟件攻擊和一系列網絡銀行劫案背後主使。

 FBI和美國司法部(DoJ)宣稱：一隊朝鮮黑客掛靠所謂的朝鮮博覽合資公司( Chosun Expo Joint Venture )，執行了這些國家支持的黑客攻擊。

 該黑客組織被安全公司廣泛稱為 Lazarus Group，FBI和DoJ確認了其中一名成員樸金赫( Park Jin Hyok，音)，並將其作為逃犯加入了FBI通緝榜。

負責調查的特別探員給出了一份長達179頁的證詞，對樸金赫、他加入的黑客組織，及其最終後台朝鮮政府與這些攻擊之間的聯繫做了詳盡的闡述。

作為後續，美國財政部外國資產控制辦公室在9月13日宣佈對朝鮮人鄭星華以及他控制的延邊銀星網絡科技有限公司進行制裁， 理由是該公司對朝鮮控制的APT組織提供技術與資金上的支持。

這是美國政府官方第一次明確將Lazarus Group與朝鮮政府聯繫起來，其具體關聯，就現在公佈的信息看，主要是Park Jin Hyok名下的Gmail郵箱被美國政府視為幾次攻擊事件的關鍵節點。

美國政府出示的郵箱關聯示意圖

這次美國政府之所以大張旗鼓地對朝鮮進行制裁，主要因為美國眾議院外交事務委員會於2018年6月28日通過“2018網絡威懾與響應法案”（H. R. 5576）要求美國總統確認高級持續威脅（APT）組織名單，並在《聯邦公報》（Federal Register）中公佈並定期更新。該法案還要求美國政府制裁對美國發動”“國家支持型網絡攻擊”的參與者。

名詞解釋：APT（Advanced Persistent Threats，高級持續性威脅）：一般指大規模，長時間，有明確目的的黑客組織及其活動，這類組織往往具有一定國家背景且以目標指向性強，隱蔽性強，破壞力大著稱，不過此類組織一般很難明確實際控制者，在過去安全公司比如卡巴斯基或者國內的360追日團隊在提到這些APT組織時，往往指稱“可能具有某國背景，但不排除第三方轉接的可能性”，所以本次美國政府明確宣稱朝鮮政府與Lazarus Group有關聯，並以179頁的PDF中詳細説明。

1 國家黑客

疑似朝鮮網軍的下屬組織除了上面提到的Lazarus Group之外，還有Silent Chollima、Group 123、Hidden Cobra、DarkSeoul、Blockbuster、Operation Troy以及10 Days of Rain等等。安全公司根據行動方式、軟件版本等區隔方式將這些組織劃分為歸屬朝鮮人民軍情報總局121局的Lazarus Group系和隸屬180局的Group 123系，其中180局主要針對東亞國家進行情報收集和政治性攻擊，影響範圍較小，而隸屬於121局的Lazarus Group組織規模大，持續時間長，技術水平高，目標廣泛，從2010年起就被廣泛關注。

安全軟件公司通過代碼分析，劃分出兩個不繫統的黑客組織

當然，多數被懷疑有明確國家背景的APT本身很難被定義，如若干被美國視為有俄羅斯背景的APT組織，都只能通過黑客單次攻擊行動目的與過程進行社會學分析來進行判斷，而很難在技術層面上將其歸為一類，而美國國家安全局（NAS）旗下相關組織，如The Equation Group（方程式組織），其存在只有靠內部類似斯諾登這樣的“良心”來曝光。值得一提的是，我們下面提到的Lazarus Group三次大規模攻擊中，WannaCry2.0和攻擊SWIFT用到了由美國方程式組織製作，但被泄漏出來的Windows黑客工具。

由此可以看出，Lazarus Group及其所代表的朝鮮網軍之所以成為全球最知名的黑客集團，並不是因為它們很強大，恰恰是因為朝鮮作為一個經濟困難的小國，能掌握的資源與技術並不豐富，又因為封鎖無法進行正常的經濟政治活動，不得不在同一套代碼基礎上，讓某些固定黑客長期從事同類行動，最終被美國人抓住把柄。

從2005年美國開始針對朝鮮進行新一輪制裁以來，被懷疑與朝鮮有關的黑客活動一直不斷髮生，但在很長一段時間裏，基本都是涉及賭博詐騙，洗錢這類比較傳統的惡意軟件，多數情況下和一般黑客組織並沒有什麼太大區別。

但2011年之後，該組織開始對金融系統進行大規模攻擊，一開始主要針對韓日，以傳統的DDOS造成癱瘓或者篡改頁面為主。這類攻擊以2014年索尼影業的服務器竊取為最高峯。

2014年底，黑客對Sony（索尼）公司發動了大規模的攻擊。這次黑客攻擊具有很強的計劃性。在當年感恩節前4天，他們就將一個紅色骷髏頭的圖案貼在了索尼公司的電腦屏幕上，同時對索尼公司發出了警告：他們將會泄漏索尼的相關商業機密信息。

幾天後，黑客們宣稱，他們已經掌握了超過100TB的數據，並準備開始將其泄漏。其中包括大量的電子郵件和私密的僱員數據信息。這次被稱為“焦土攻擊”的黑客攻擊事件，導致索尼公司的一些服務器陷入了癱瘓狀態，在接下來的幾個月中，索尼公司的正常商業運轉都受到了極大的影響。襲擊者同時還摧毀了其數據和數字安全門控制系統。在遭到攻擊之後，索尼公司不得不對相關的IT基礎設施進行維修，這一維修費用達到3500萬美元。

在本次進攻中，安全軟件公司通過麪包屑導航第一次捕捉到來自朝鮮的IP

2015年前Lazarus Group主要活動

​2 網軍創收

到了2015年，該組織的目標從政治轉向經濟，開始針對銀行系統漏洞進行攻擊，經過若干小規模嘗試，最終於2月成功入侵了孟加拉國家銀行，盜取8100萬美元，而在此前後，還用類似手段盜取了其他銀行約兩千萬美元。

孟加拉中央銀行

Lazarus Group盜取孟加拉中央銀行等行動主要通過SWIFT系統進行：

SWIFT全稱是Society for Worldwide Interbank Financial Telecommunication,中文名是“環球同業銀行金融電信協會”。1973年5月,由美國、加拿大和歐洲的—些大銀行正式成立SWIFT組織,其總部設在比利時的布魯塞爾,它是為了解決各國金融通信不能適應國際間支付清算的快速增長而設立的非盈利性組織,負責設計、建立和管理SWIFT國際網絡,以便在該組織成員間進行國際金融信息的傳輸和確定路由。

SWIFT是一套在約定內容基礎上使用自動電傳的銀行間結算網絡系統，由於其傳輸方式的孤立性與傳輸內容的單一性，讓基於互聯網的黑客們很難入手，Lazarus Group通過惡意軟件控制多方銀行打印機，對“正常”SWIFT報文進行“篡改”。

SWIFT專用電傳機

攻擊者先控制了孟加拉央行SWIFT的打印機，向紐約聯邦儲備銀行上該行代理帳號發出了35筆總計9.51億美元的轉賬要求，最終有5筆交易被通過，其中一筆因為拼寫錯誤（Foundation誤寫為fandation）在中間階段被找回，剩下4筆共計8100萬美元經過數次銀行轉賬，最終兑換成比特幣，失去蹤影。

SWIFT作為傳統的世界各國銀行間結算系統很少被網絡攻擊，更別説成功盜取資金了。所以Lazarus Group這次攻擊造成了銀行業普遍恐慌，雖然SWIFT第一時間將鍋推給了孟加拉央行，但在 2016年5月24日，在布魯塞爾歐洲金融服務第十四屆年度會議上，SWIFT宣佈將提升其網絡系統安全性，對銀行管理軟件提出更嚴格的安全要求，採取了管控支付方式和第三方機構認證等措施。

到2017年，Lazarus Group的目標再次轉向韓國，於2017年和2018年相繼攻擊若干韓國區塊鏈交易網站，其中最成功一次發生在在2017年5月，該組織成功盜取了韓國第一、世界第四大區塊鏈交易網站Bithumb約4000個BTC——當時價值3000萬美元左右，在此前，對該網站以太幣錢包的攻擊，盜取了大約500萬美元。這些被盜取的區塊鏈貨幣迅速在其他區塊鏈交易網站被洗白並失去蹤跡。

據不完全統計，從2015年10月到2017年10月的24個月裏，朝鮮背景黑客一共盜取了接近2億美元，加上外界估計朝鮮靠廉價小水電和黑客肉雞佔有BTC全球總算量2%所帶來收益，總值5億美元左右。朝鮮同期由於封鎖加劇所造成了約10億美元外貿逆差，一半要靠這些“互聯網新思維”填上。

3 半島一體

在三八線以南，是自稱僅次於中美日德的“世界第5大工業體”韓國。隨着經濟危機發酵，韓國2018年上半年經濟持續疲軟，尤其是特朗普開始這一輪貿易戰後，韓國作為美國與中國的中端消費品主要出口國，耐用消費品及相關原料貿易都出現暴跌，尤其是過去作為韓國出口主力的汽車和黑白電器，出口額接近腰斬，而過去排在出口額第三的文化產品出口更是暴跌了70%，其中對華出口額基本為0。

但韓國2018年上半年出口總數據還保持了低速增長——顯然是某些行業的暴漲補償了暴跌。眾所周知，最近一段時間，由於在內存方面的半壟斷地位，韓國芯片與IT製品產業出口再創新高，其中對華芯片出口增長接近50%，出口總額也歷史性達到韓國對華出口總額一半以上，完全抵消了其他方面的暴跌，而對美IT製成品出口也有大幅上升，漲幅接近20%——這部分得利於中興案後美國企業擔心中國IT產品出現短缺。

中國產內存芯片的出現，即將對韓國國運造成巨大沖擊

南北朝鮮“不謀而合”，都選擇了IT行業來彌補其他行業的停滯，這並非偶然，而是地理因素的影響。國土狹窄、資源不足，既不能像海灣國家那樣挖資源致富，也不能像中美這樣走全面發展路線，只能在部分IT行業上“走偏門”，以補償總體上的停滯。然而，隨着中國產業升級逐漸碾過韓國，隨着中國芯片大躍進的效果逐漸顯露，也隨着各國反黑客能力逐漸提升，南北朝鮮都不得不融入中國的產業鏈以求生存，或是像90年代北朝鮮那樣強調“苦難行軍”精神了。

本文自馬前卒工作室微信公號

作者：穆好古