黑客网军+垄断内存 IT半岛能走多远？

今天（2018年9月20日）南北朝鲜领导人一起来到白头山，为朝鲜统一站台。从眼下的经济水平来看，南北朝鲜经济差异巨大，很难“求同”，但如果回顾近期的经济事件，可以看到南北朝鲜竟默默地选择了类似的发展路线。

 最近一则新闻：

9月6日的新闻发布会上，美国政府正式指控朝鲜政府，称其是索尼影业黑客事件、WannaCry勒索软件攻击和一系列网络银行劫案背后主使。

 FBI和美国司法部(DoJ)宣称：一队朝鲜黑客挂靠所谓的朝鲜博览合资公司( Chosun Expo Joint Venture )，执行了这些国家支持的黑客攻击。

 该黑客组织被安全公司广泛称为 Lazarus Group，FBI和DoJ确认了其中一名成员朴金赫( Park Jin Hyok，音)，并将其作为逃犯加入了FBI通缉榜。

负责调查的特别探员给出了一份长达179页的证词，对朴金赫、他加入的黑客组织，及其最终后台朝鲜政府与这些攻击之间的联系做了详尽的阐述。

作为后续，美国财政部外国资产控制办公室在9月13日宣布对朝鲜人郑星华以及他控制的延边银星网络科技有限公司进行制裁， 理由是该公司对朝鲜控制的APT组织提供技术与资金上的支持。

这是美国政府官方第一次明确将Lazarus Group与朝鲜政府联系起来，其具体关联，就现在公布的信息看，主要是Park Jin Hyok名下的Gmail邮箱被美国政府视为几次攻击事件的关键节点。

 美国政府出示的邮箱关联示意图

这次美国政府之所以大张旗鼓地对朝鲜进行制裁，主要因为美国众议院外交事务委员会于2018年6月28日通过“2018网络威慑与响应法案”（H. R. 5576）要求美国总统确认高级持续威胁（APT）组织名单，并在《联邦公报》（Federal Register）中公布并定期更新。该法案还要求美国政府制裁对美国发动”“国家支持型网络攻击”的参与者。

名词解释：APT（Advanced Persistent Threats，高级持续性威胁）：一般指大规模，长时间，有明确目的的黑客组织及其活动，这类组织往往具有一定国家背景且以目标指向性强，隐蔽性强，破坏力大著称，不过此类组织一般很难明确实际控制者，在过去安全公司比如卡巴斯基或者国内的360追日团队在提到这些APT组织时，往往指称“可能具有某国背景，但不排除第三方转接的可能性”，所以本次美国政府明确宣称朝鲜政府与Lazarus Group有关联，并以179页的PDF中详细说明。

1 国家黑客

疑似朝鲜网军的下属组织除了上面提到的Lazarus Group之外，还有Silent Chollima、Group 123、Hidden Cobra、DarkSeoul、Blockbuster、Operation Troy以及10 Days of Rain等等。安全公司根据行动方式、软件版本等区隔方式将这些组织划分为归属朝鲜人民军情报总局121局的Lazarus Group系和隶属180局的Group 123系，其中180局主要针对东亚国家进行情报收集和政治性攻击，影响范围较小，而隶属于121局的Lazarus Group组织规模大，持续时间长，技术水平高，目标广泛，从2010年起就被广泛关注。

安全软件公司通过代码分析，划分出两个不系统的黑客组织

当然，多数被怀疑有明确国家背景的APT本身很难被定义，如若干被美国视为有俄罗斯背景的APT组织，都只能通过黑客单次攻击行动目的与过程进行社会学分析来进行判断，而很难在技术层面上将其归为一类，而美国国家安全局（NAS）旗下相关组织，如The Equation Group（方程式组织），其存在只有靠内部类似斯诺登这样的“良心”来曝光。值得一提的是，我们下面提到的Lazarus Group三次大规模攻击中，WannaCry2.0和攻击SWIFT用到了由美国方程式组织制作，但被泄漏出来的Windows黑客工具。

由此可以看出，Lazarus Group及其所代表的朝鲜网军之所以成为全球最知名的黑客集团，并不是因为它们很强大，恰恰是因为朝鲜作为一个经济困难的小国，能掌握的资源与技术并不丰富，又因为封锁无法进行正常的经济政治活动，不得不在同一套代码基础上，让某些固定黑客长期从事同类行动，最终被美国人抓住把柄。

从2005年美国开始针对朝鲜进行新一轮制裁以来，被怀疑与朝鲜有关的黑客活动一直不断发生，但在很长一段时间里，基本都是涉及赌博诈骗，洗钱这类比较传统的恶意软件，多数情况下和一般黑客组织并没有什么太大区别。

但2011年之后，该组织开始对金融系统进行大规模攻击，一开始主要针对韩日，以传统的DDOS造成瘫痪或者篡改页面为主。这类攻击以2014年索尼影业的服务器窃取为最高峰。

2014年底，黑客对Sony（索尼）公司发动了大规模的攻击。这次黑客攻击具有很强的计划性。在当年感恩节前4天，他们就将一个红色骷髅头的图案贴在了索尼公司的电脑屏幕上，同时对索尼公司发出了警告：他们将会泄漏索尼的相关商业机密信息。

几天后，黑客们宣称，他们已经掌握了超过100TB的数据，并准备开始将其泄漏。其中包括大量的电子邮件和私密的雇员数据信息。这次被称为“焦土攻击”的黑客攻击事件，导致索尼公司的一些服务器陷入了瘫痪状态，在接下来的几个月中，索尼公司的正常商业运转都受到了极大的影响。袭击者同时还摧毁了其数据和数字安全门控制系统。在遭到攻击之后，索尼公司不得不对相关的IT基础设施进行维修，这一维修费用达到3500万美元。

在本次进攻中，安全软件公司通过面包屑导航第一次捕捉到来自朝鲜的IP

2015年前Lazarus Group主要活动

​2 网军创收

到了2015年，该组织的目标从政治转向经济，开始针对银行系统漏洞进行攻击，经过若干小规模尝试，最终于2月成功入侵了孟加拉国家银行，盗取8100万美元，而在此前后，还用类似手段盗取了其他银行约两千万美元。

孟加拉中央银行

Lazarus Group盗取孟加拉中央银行等行动主要通过SWIFT系统进行：

SWIFT全称是Society for Worldwide Interbank Financial Telecommunication,中文名是“环球同业银行金融电信协会”。1973年5月,由美国、加拿大和欧洲的—些大银行正式成立SWIFT组织,其总部设在比利时的布鲁塞尔,它是为了解决各国金融通信不能适应国际间支付清算的快速增长而设立的非盈利性组织,负责设计、建立和管理SWIFT国际网络,以便在该组织成员间进行国际金融信息的传输和确定路由。

SWIFT是一套在约定内容基础上使用自动电传的银行间结算网络系统，由于其传输方式的孤立性与传输内容的单一性，让基于互联网的黑客们很难入手，Lazarus Group通过恶意软件控制多方银行打印机，对“正常”SWIFT报文进行“篡改”。

 SWIFT专用电传机

攻击者先控制了孟加拉央行SWIFT的打印机，向纽约联邦储备银行上该行代理帐号发出了35笔总计9.51亿美元的转账要求，最终有5笔交易被通过，其中一笔因为拼写错误（Foundation误写为fandation）在中间阶段被找回，剩下4笔共计8100万美元经过数次银行转账，最终兑换成比特币，失去踪影。

SWIFT作为传统的世界各国银行间结算系统很少被网络攻击，更别说成功盗取资金了。所以Lazarus Group这次攻击造成了银行业普遍恐慌，虽然SWIFT第一时间将锅推给了孟加拉央行，但在 2016年5月24日，在布鲁塞尔欧洲金融服务第十四届年度会议上，SWIFT宣布将提升其网络系统安全性，对银行管理软件提出更严格的安全要求，采取了管控支付方式和第三方机构认证等措施。

到2017年，Lazarus Group的目标再次转向韩国，于2017年和2018年相继攻击若干韩国区块链交易网站，其中最成功一次发生在在2017年5月，该组织成功盗取了韩国第一、世界第四大区块链交易网站Bithumb约4000个BTC——当时价值3000万美元左右，在此前，对该网站以太币钱包的攻击，盗取了大约500万美元。这些被盗取的区块链货币迅速在其他区块链交易网站被洗白并失去踪迹。

据不完全统计，从2015年10月到2017年10月的24个月里，朝鲜背景黑客一共盗取了接近2亿美元，加上外界估计朝鲜靠廉价小水电和黑客肉鸡占有BTC全球总算量2%所带来收益，总值5亿美元左右。朝鲜同期由于封锁加剧所造成了约10亿美元外贸逆差，一半要靠这些“互联网新思维”填上。

3 半岛一体

在三八线以南，是自称仅次于中美日德的“世界第5大工业体”韩国。随着经济危机发酵，韩国2018年上半年经济持续疲软，尤其是特朗普开始这一轮贸易战后，韩国作为美国与中国的中端消费品主要出口国，耐用消费品及相关原料贸易都出现暴跌，尤其是过去作为韩国出口主力的汽车和黑白电器，出口额接近腰斩，而过去排在出口额第三的文化产品出口更是暴跌了70%，其中对华出口额基本为0。

但韩国2018年上半年出口总数据还保持了低速增长——显然是某些行业的暴涨补偿了暴跌。众所周知，最近一段时间，由于在内存方面的半垄断地位，韩国芯片与IT制品产业出口再创新高，其中对华芯片出口增长接近50%，出口总额也历史性达到韩国对华出口总额一半以上，完全抵消了其他方面的暴跌，而对美IT制成品出口也有大幅上升，涨幅接近20%——这部分得利于中兴案后美国企业担心中国IT产品出现短缺。

 中国产内存芯片的出现，即将对韩国国运造成巨大冲击

南北朝鲜“不谋而合”，都选择了IT行业来弥补其他行业的停滞，这并非偶然，而是地理因素的影响。国土狭窄、资源不足，既不能像海湾国家那样挖资源致富，也不能像中美这样走全面发展路线，只能在部分IT行业上“走偏门”，以补偿总体上的停滞。然而，随着中国产业升级逐渐碾过韩国，随着中国芯片大跃进的效果逐渐显露，也随着各国反黑客能力逐渐提升，南北朝鲜都不得不融入中国的产业链以求生存，或是像90年代北朝鲜那样强调“苦难行军”精神了。

本文自马前卒工作室微信公号

作者：穆好古