当前位置 :

朝鲜网络作战能力建设分析

2017-09-25 365bet官方开户 助理研究员/武获山(网络空间战略分析与评估中心)访问次数:

近日,美国著名网络安全企业“火眼”公司(FireEye)在其官方博客上发布报告称,自今年5月份以来,朝鲜黑客部队至少已经发动两轮针对韩国比特币交易平台的网络攻击行动,试图窃取比特币、莱特币等其他能够通过各种渠道兑换成法币的加密资产。1由于此类“鱼叉式钓鱼攻击”(Spearphish)及其运用的恶意软件工具与2016年全球多国银行遭受的网络攻击存在相似性,外界对于朝鲜有计划开展网络经济犯罪活动的怀疑进一步加剧。

事实上,近年来出现的多起具有全球影响力的网络攻击事件背后,都隐现着朝鲜网络部队的影子。特别是在金正恩担任朝鲜最高领导人之后,历次半岛核危机达到剑拔弩张的紧张时刻,几乎都会伴随着疑似带有朝鲜战略意图和政治动机的网络入侵事件。这个“隐士国度”可能具备的网络能力不仅日益成为全球网络安全研究者关注的焦点,而且也被视为朝鲜战略威慑框架的重要组成部分。尽管遭受多年的技术封锁和经济制裁,朝鲜确实培养并建设了一支有能力服务国家战略利益的网络部队,并且使半岛南北对峙双方的战略平衡发生了微妙变化。

一、产生世界性影响的“索尼网络攻击”(Sony Hacking)事件

迄今为止,疑似朝鲜网络作战行动中影响最为广泛的就是美国索尼电影娱乐公司遭到网络攻击事件。在此之前,被怀疑是朝鲜发动的网络攻击活动通常局限在半岛范围内,除了受到严重威胁的韩国,世界上其他国家对其并不特别关注。但此次网络攻击事件爆发之前,朝鲜和美国在外交领域的唇枪舌战已经吸引了全球的注意。而当索尼公司果然如朝鲜外交部所言承受“无情的反击”时,2外界才开始正视朝鲜已经发展成为主要网络行为体的可能性。

2014年6月,美国索尼公司宣布将在全球公映名为《采访》(The Interview,又译为《刺杀金正恩》)的电影,由于该影片用荒诞讽刺的手法描述了刺杀时任朝鲜最高领导人金正恩的故事,朝鲜外交部门随即发出了强烈抗议,要求索尼公司停止发行该电影的计划。在明确表达拒绝后,索尼公司在11月遭到严重网络入侵,其内部网络系统中数千台电脑因感染恶意软件而无法使用。不仅如此,在随后近1个月的时间里,一个自称为“和平守卫者”(Guardian of Peace)的组织在网络中公开发布了包括索尼公司高管个人电子邮件、商业活动记录以及未发布的电影视频等大量敏感信息,索尼公司商业利益和公司形象遭到沉重打击。虽然朝鲜否认与攻击事件有关,但美国联邦调查局在12月宣布,其“发现足够信息,能够得出朝鲜政府是这些攻击行动幕后主使的结论”。3

尽量最终电影在经历延期放映后还是通过部分影院和网络渠道发行,但作为一家美国本土企业,索尼公司付出了挑衅和丑化朝鲜领导人所能承受的最高代价。通过网络攻击行动,朝鲜希望实现的战略目标已经完全达成,不仅对外展现出维护其国家利益的能力和意志,而且利用美国只能在国内法框架下处理此类事件的限制全身而退。从当年6月份朝鲜通过外交渠道发出抗议,到11月份成功实施网络攻击,朝鲜网络部队展现出了较为成熟和迅速的行为能力。从其运用模式上看,朝鲜网络攻击行动直接服务于朝鲜战略利益需求,可能由其国家或者军队高级领导人授权执行。

二、推测为朝鲜发动的网络攻击行动对韩国造成了严重威胁

事实上,索尼遭到网络攻击只是一起多种偶发因素促成的孤立事件;相比之下,据信是朝鲜黑客部队所为的网络攻击行动基本上集中发生在韩国,而且在对韩国网络空间安全造成长期威胁的过程中,其也展现出特定的行动模式和不断发展成熟的趋势。

2009年以来,多次经过长时间筹划、经常性、系统性实施的大规模网络攻击行动几乎覆盖韩国社会和军队所有重要领域,无论总统府、主要政府部门、新闻媒体、金融机构、军工研究组织还是大型企业集团都曾遭到网络攻击,甚至部分韩国企业在美机构以及驻韩美军也未能幸免。诸如2010年“7·7网络大恐慌”和2013年“3·20网络大恐慌”等严重网络攻击事件,都因其持续时间长、影响范围广,使高度依赖信息技术的韩国社会陷入了巨大混乱。根据“朝鲜国防分析研究所”学者夫赫旭(Boo Hyeong-wook)的观察,推测为朝鲜发动的攻击行动从早期的分布式拒绝服务发展到破坏计算机系统、渗透国家重要部门网络和窃取敏感信息,对于韩国国家安全的威胁程度不断增强。4 



表1:2004年以来韩国遭遇网络攻击事件列表

 

在数十年的南北对峙中,朝鲜相对于韩国的常规军事能力优势不断削弱。深知其国家实力不足以支撑起常规军备竞赛的沉重负担,甚至可能被拖垮并陷入政治不稳定的不利局势,朝鲜转而寻求利用不对称优势维持对于韩国的战略威慑。网络空间作战能力因其效费比低、难以溯源、不易使局势升级等特点几乎就是非对称优势的代名词,因而也自然成为朝鲜战略威慑体系发展的合理选项。

值得关注的是,韩国遭受的大规模网络攻击往往发生在朝鲜核试验之后,这被视为朝鲜回应国际社会谴责和制裁的一种反制手段。而韩国虽然是朝鲜的宿敌,但毕竟是同宗同源的民族兄弟国家,这种道义上的枷锁使朝鲜核能力对于韩国的威慑效果偏弱。因此,网络攻击可以说就是朝鲜对于韩国量身定制的威慑手段,而韩国也不幸成为朝鲜网络部队的练兵场和主战场。

三、经济利益成为疑似朝鲜网络攻击活动近期关注的重点

朝鲜自金正恩执掌政权以来,不断加快核武器和导弹的研发与试验工作,国家经济资源消耗量持续增加。随着局势的发展,联合国的制裁措施逐步开始显示出效果,朝鲜国内经济形势不断恶化,急需外部资金的注入从而为国内经济输血。

由于朝鲜网络力量直接服务于国家战略利益,朝鲜的国家战略需求也就成为其行动指导。通过观察近年来国际金融体系遭到的一系列推测为朝鲜所为的网络攻击活动,网络安全和国际政治领域的研究者很难不把其与朝鲜国内日益窘迫的经济困境联系起来。

2016年2月,孟加拉国中央银行被曝出因遭到网络攻击而损失了惊人的8100万美元。攻击者利用恶意软件掌握该银行网络系统控制权限后,通过“环球银行金融电信协会”(SWIFT)通讯网络发起总额高达10亿美元的资金转划请求,最终这批交易在受到人工干预后只完成了部分操作。此次银行“网络大劫案”引起了全球网络安全从业者的警惕,著名网络安全公司赛门铁克(Symantec)在其官方网络上公布的证据信息显示,近年来发生菲律宾、越南等国银行的类似攻击事件都与此案存在关联,被称为“Lazarus”的黑客团体在这些攻击行动使用了相似的软件,这些软件和网络攻击手法又将其指向了“索尼网络攻击”事件以及韩国发生的“3·20网络大恐慌”。10根据卡巴斯基实验室的研究,多达18个国家的银行机构都遭到了此类攻击,而黑客实施这些行动的目的就是获取经济利益。 11虽然没有确切的证据将朝鲜政府与上述攻击行动的实施者联系起来,但就在今年3月,环球银行金融电信协会宣布停止剩余的全部4家朝鲜银行接入系统的服务,原因是上述机构“未能达到协会的某些特定标准”。12

然而,“Lazarus”黑客集团在世界范围内的网络冒险行动并没有结束,其狩猎的清单上又出现了以比特币为代表的加密货币资产。根据“连线”(Wired)网站的报道,多家网络安全公司发布证据称,今年5月席卷全球150多个国家、感染约20万台设备的“WannaCry”勒索病毒爆发事件正是“Lazarus”集团又一次行动的结果。13但如果仅从攻击的“收益”来看,此次勒索软件攻击事件并不能算得上非常成功,因为当3个比特币赎金地址在今年8月被清空时,其收获的总金额仅仅相当于约14万美元。14而如果勒索病毒事件与上文提到的韩国比特币交易所遭网络攻击事件是同一个组织所为,那么开始时间接近的两场行动很有可能是同一场精心组织计划的组成部分,抑或由同一组织下属的两个不同部门分别单独执行。

四、关于朝鲜网络作战能力的评估和争议

在全球联系日益紧密的当下,朝鲜由于特殊的地缘政治环境和国家统治形态原因,几乎从物理和信息层面与世界其他地区完全隔离。在网络作战部队问题上,朝鲜更不会主动公布关于其历史沿革、发展战略、结构规模、行动模式或者训练演习方面的信息。目前能够勾勒出朝鲜网络能力基本框架的开源信息只有韩国和美国研究机构发布的少量报告,以及“脱北者”根据自身经历向新闻媒体做出的介绍,连美国国会研究处也承认,“研究神秘金氏政权安全问题的开源资料非常有限,有时甚至不得不依靠某种程度的推测和猜测”。15因此,外界对于朝鲜网络能力的评估只停留在基础阶段,而且还存在着大量争议。

报道指出,已故朝鲜领导人金正日非常重视信息技术的发展,可能很早就制定了发展网络空间军事化能力的战略。朝鲜在其推动下自上世纪80年代开始关注网络作战能力建设问题,长期在中学和大学中选择优秀学生学习计算机和数学专业,并在其毕业后直接送往朝鲜网络部队相关机构服役。据曾在朝鲜担任过计算机教授,并于2004年逃到韩国的金恒光(Kim Heung-Kwang)表示,朝鲜在1998年9月组建了负责对韩国发动网络攻击的第121部队。16在金正恩担任朝鲜最高领导人后,网络作战能力在朝鲜版“抵销战略”的地位作用不断提高,已经成为朝鲜仅次于全面战争和大规模杀伤性武器的威慑手段。17朝鲜网络部队的组织结构发生了新的变化,而且规模也即将出现大幅增加。韩国学者在2014年根据当时掌握的公开资料绘制了朝鲜网络部队的组织结构图,并对其任务和规模进行了介绍,如下图。 



图1:韩国对朝鲜网络部队组成机构的推测18

 

尽管大量针对朝鲜发动大规模网络攻击行动的指控暗示,其已经形成了较为成熟的网络能力,但关于朝鲜网络部队真实能力水平问题依然存在不同观点。问题的核心集中于朝鲜是否已经从一般性网络渗透破坏发展到具有通过网络攻击破坏物理设施的能力,诸如实施类似美国和以色列“震网”病毒攻击的行动等。

对于该问题,部分韩国学者认为,在严重的威胁面前人们倾向于将面临的危险夸大,针对朝鲜网络威胁的分析也是如此。而且由于关于朝鲜网络力量真实客观资料的稀缺,研究者和媒体圈子里容易形成“回声室”效应,首先发出的声音会被逐渐放大,尽管最初的信息可能并不完整或者不甚准确。19

五、朝美之间会在网络空间爆发正面冲突吗?

任何冲突都是双方不断升级敌对活动的结果,潜在的网络冲突也不会例外。随着疑似朝鲜网络攻击行动展现出影响全球的威胁能力,美国国家安全和军事机构也在密切关注其发展的最新动向。今年8月,美国国会研究服务处发布了关于朝鲜网络威胁的报告,建议国会成员更多地听取美国情报机构关于朝鲜网络作战能力的汇报,同时考虑“美国的网络能力如何对朝鲜网络行动做出反应”、“美国正在运用哪些打击朝鲜黑客组织的攻击性能力”以及“美国现任政府应该采取哪些战略措施威慑朝鲜网络攻击”等问题。20

事实上,在美军的作战理论中,网络作战能力的运用已经成为美军联合作战计划的固有组成部分,美军网络任务部队在中东打击极端组织战场上积累的大量经验也有利用于其提高网络战备能力;不仅如此,在与韩国军队联合举行的历次大规模演习中,网络作战行动也是不可或缺的重头戏,距离实战运用仅一步之遥。而美国退役海军上将詹姆斯·斯塔夫里迪斯(James Stavridis)在接受美国全国广播电视台采访时就明确表示,合理的打击朝鲜方案应该包含网络进攻内容。21

当然,朝鲜的网络活动目前只集中在经济领域,尚未触及特定国家的核心安全利益。但是两种情况可能会导致美军决心使用网络攻击能力遏制朝鲜网络部队的行动。首先,由于网络空间广泛的互联性,如果朝鲜的网络侦察活动通过韩国军队信息系统渗透到美军网络,可能触发美军国防部信息网络防御机制,美军对局势进行判断后,不排除将使用网络手段进行反击,从而使朝美双方在网络空间展开正面对抗。其次,如果朝鲜网络部队刻意将其行动保持在特定领域,其不断斩获的经济利益也将在一定程度上帮助朝鲜实现国际制裁期间的战略目标,即减轻甚至规避美国经济封锁和制裁的效果。这当然也是美国不愿看到的结果,因此,主动打击和压制朝鲜网络活动可能将成为美军不得不面对的任务。

此外,还有一种因素可能会对美军网络作战行动决策产生关键影响。当前朝韩双方始终没有签订任何和平协议,从国际法角度看两国依然随时可能重新陷入战争状态。如果在和平时期运用网络军事力量应对紧急网络攻击事件可能引发事态升级,那么在“停战”或者准战争条件下呢?作为韩国的军事盟友,美国从理论上完全可以运用军事力量确保韩国国家安全利益,而这种军事力量当然也包括网络部队。

虽然已经建立起网络部队,但直到现在,美国在网络危机期间是否运用网络作战部队的问题上都非常慎重,一般都会在国内法律框架下应对网络危机,索尼公司网络攻击事件就明显反映出这种政策倾向。然而,在朝鲜不断通过试射导弹展现强硬的立场,美韩联合军事行动很难再达到遏制朝鲜军事冒险并且同时确保不激化局势的情况下,网络作战行动方案很可能就会出现在美国高级决策者的桌面上。考虑到朝韩之间特殊的法律状态,美军在筹划运用网络进攻作战能力时面临的阻力更小,从而将潜在的朝美网络冲突又向前推进了一步。

六、结语

网络空间是现实世界的虚拟映射,全球地缘政治矛盾也将不可避免地被带入这个人造空间领域。虽然经历了长期封锁和制裁,但朝鲜已经通过自己的方式培养并建设出相对成熟的网络空间行动能力。从隐秘的情报活动、高调的外交对抗、高效的非核威慑选项到当前更多地运用于经济领域,朝鲜网络能力的每次运用都展现出与其国家意志的高度相关性。随着美朝围绕核问题的对抗逐步升级,朝鲜极有可能试图借助这种不对称优势实现更多的政治、军事和经济利益。(全文完)

 

此文已在瞭望智库网站首发

 

1 卢克·麦克纳马拉(Luke McNamara):《朝鲜为什么对比特币如此感兴趣?》(Why Is North Korea So Interested in Bitcoin?),威胁研究报告,2017年9月11日,网址:https://www.fireeye.com/blog/threat-research/2017/09/north-korea-interested-in-bitcoin.html。

2 德鲁·哈维尔(Drew Harwell)和艾伦·中岛(Ellen Nakashima):《黑客突然发出威胁以阻止索尼在圣诞节放映<刺杀金正恩>》(Hackers’threats prompt Sony Pictures to shelve Christmas release of ‘The nterview’),《华盛顿邮报》,2014年12月17日,网址:https://www.washingtonpost.com/business/economy/top-movie-theater-chains-cancel-premiere-showings-of-the-interview/2014/12/17/dd1bdb2a-8608-11e4-9534-f79a23c40e6c_story.html?utm_term=.9aafa2a07182。

3 美国联邦调查局:《索尼案调查情况更新》(Updateon Sony Investigation),2014年12月19日,网址:https://www.fbi.gov/news/pressrel/press-releases/update-on-sony-investigation。

4 Hyeong-wook Boo:《朝鲜网络威胁评估》(An Assessment of North Korean Cyber Threats),日本防卫研究所,2016年安全研讨会,http://www.nids.mod.go.jp/english/event/symposium/pdf/2016/E-02.pdf。

5 李智研(Jiyeon Lee):《网络攻击震动韩国》(Cyberattackrocks South Korea),2009年7月11日,公共广播国际网站,网址:https://www.pri.org/stories/2009-07-11/cyberattack-rocks-south-korea。

6 查理·坎贝尔(Charlie Campbell):《为什么我们不应该对朝鲜发动“WannaCry”勒索软件攻击感到意外》(Why We Shouldn't Be Surprised If North Korea Launched the WannaCryRansomware Cyberattack),时代网站,网址:http://time.com/4781809/ransomware-attack-north-korea-wannacry/。

7 http://www.dailynk.com/english/read.php?num=14108&cataId=nk02500

8 艾琳·喻(Eileen Yu):《朝鲜否认对韩国核电站进行黑客攻击》(North Korea denies hacking South's nuclear power operator),2014年12月28日,网址:http://www.zdnet.com/article/north-korea-denies-hacking-souths-power-station/。

9 路透社:《朝鲜否认对韩国官员发动网络攻击》(North Korea denies cyber attacks on South Korea officials),2016年3月13日,网址:http://www.reuters.com/article/us-northkorea-korea-cyber/north-korea-denies-cyber-attacks-on-south-korea-officials-idUSKCN0WF05V。

10 赛门铁克公司:《SWIFT攻击事件与更多金融机构网络攻击存在联系》(SWIFT attackers’malware linked to more financialattacks),2016年5月26日,网址:https://www.symantec.com/connect/blogs/swiftattackersmalwarelinkedmorefinancialattacks。

11 卡巴斯基公司:《追踪“Lazarus”:追捕臭名昭著的黑客团伙以阻止更多银行劫案 》(Chasing Lazarus: A Hunt for the InfamousHackers to Prevent Large Bank Robberies),2017年4月4日,网址:https://www.kaspersky.com/about/press-releases/2017_chasing-lazarus-a-hunt-for-the-infamous-hackers-to-prevent-large-bank-robberies。

12 汤姆·珀金(Tom Bergin):《SWIFT关闭剩余的全部4家朝鲜银行接入渠道》(SWIFT messaging system cuts off remaining North Korean banks),路透社,2017年3月17日,网址:http://www.reuters.com/article/us-northkorea-banks/swift-messaging-system-cuts-off-remaining-north-korean-banks-idUSKBN16N2SZ。

13 安迪·格林伯格(Andy Greenberg):《“WannaCry”勒索软件被怀疑与朝鲜黑客存在关系》(TheWannaCry Ransomware Has a Link to Suspected North Korean Hackers),《连线》网站,2017年5月15日,网址:https://www.wired.com/2017/05/wannacry-ransomware-link-suspected-north-korean-hackers/。

14 赛琳娜·拉森(Selena Larson):《不明身份人员清空了“WannaCry”勒索病毒攻击的赎金帐户》(Someone has emptied the ransom accounts from the WannaCry attack),2017年8月3日,网址:http://money.cnn.com/2017/08/03/technology/wannacry-bitcoin-ransom-moved/index.html。

15 艾玛·钱利特-阿沃瑞(Emma Chanlett-Avery)等:《朝鲜网络能力简报》(North Korean Cyber Capabilities: In Brief),美国国会研究服务处,2017年8月3日,https://fas.org/sgp/crs/row/R44912.pdf。

16 Hyeong-wook Boo:《朝鲜网络威胁评估》。

17 新美国安全中心:《半岛的突破:第三次抵销战略与韩国未来的国防》(Breakthrough On the Peninsula: Third Offset Strategies and the Future Defense of Korea),2016年12月,网址:https://s3.amazonaws.com/files.cnas.org/documents/CNAS-Report-BreakthroughonthePeninsula-Finalb.pdf?mtime=20161121070646。

18 Hyeong-wook Boo:《朝鲜网络威胁评估》。

19 詹姆斯·李维斯(James Lewis)等:《朝鲜网络作战:战略与应对》(North Korea’s Cyber Operation: Strategy and Response),美国战略与国际研究所,2015年9月,网址:https://www.csis.org/events/north-korea%E2%80%99s-cyber-operations-strategy-and-responses。

20 艾玛·钱利特-阿沃瑞等:《朝鲜网络能力简报》。

21 美国全国广播电视台:《美国担心朝鲜发动网络攻击》(U.S. Worried North Korea Will Unleash Cyberattacks),2017年8月15日,网址:https://www.nbcnews.com/news/north-korea/u-s-worried-north-korea-will-unleash-cyberattacks-n790831。

[责任编辑:huangxx]

共1条记录/1页  
[收藏]