知远战略与防务研究所 三十年后/编译自:美国保卫民主基金会

知远导读本文编辑节选自美国保卫民主基金会2018年发布的报告《金正恩的掌中剑——基于网络的经济战争》。此份报告是2018年该基金会开展的网络经济战系列研究中关于对抗战略的一个项目,旨在促进美国政府和相关国家更好地了解新环境带来的威胁和机遇,并协助政策制定者在该领域内制定和实施美国的制胜战略。文章分析了朝鲜网络作战人员的组织结构、基础设施和使用工具,并通过六起案例研究,汲取经验教训,给出了六条具体的政策建议。

推送部分为节选,报告全文约20000字,如需参阅全文请登录http://www.knowfar.org.cn/了解。

2014年,韩国国防部发布报告称,朝鲜大约有6000名网络作战人员从事“网络战争,包括中断军事行动和攻击关键的国家基础设施”。相比之下,这与美国网络司令部(Cyber Command)下辖的作战部队人数大致相同。尽管这样的对比是不精确的,但最重要的考虑因素是朝鲜的能力和意图,这很难评估。尽管人们普遍认为,朝鲜太穷了,技术能力非常有限,但平壤投入了大量时间和资源来提升其网络作战实力。脱北者金乡光称,朝鲜政府将其军事预算的10%-20%用于网络作战,但这个数字尚未得到证实。最终,我们只能猜测朝鲜网络作战人员的规模及其资金来源。

组织架构

朝鲜侦察总局(Reconnaissance General Bureau,RGB)是该政权负责网络行动的主要机构。2009年至2010年,在朝鲜情报和国家安全机构重组期间,侦察总局成立,独立于朝鲜常规军队——朝鲜人民军(Korean People’s Army,KPA),直接向朝鲜政权的最高决策机构——金正恩领导的国务委员会(State Affairs Commission)负责。根据五角大楼(Pentagon)的说法,国务委员会将朝鲜的恐怖主义、秘密和非法活动交给了侦察总局。该局不受常规军队控制,并纳入专门从事秘密和恐怖活动的网络,这表明朝鲜认为网络作战能力超出了军事资产的范畴。

美国财政部两次批准了针对朝鲜侦察总局的制裁:第一次是2010年,在《13551号行政命令(Executive Order 13551)》1中限制朝鲜武器交易、洗钱和其他非法活动;第二次是在2015年的《13687号行政令(Executive Order 13678)》中,认定金氏家族把控的朝鲜政权实际控制着攻击索尼影业的黑客。2016年1月6日,在朝鲜进行第四次核试验后,联合国也制裁了朝鲜侦察总局。

图表1.朝鲜侦察总局的组织架构

第121局是侦察总局中负责网络事务的主要机构。121局在技术侦察和开展破坏性行动方面发挥着重要作用,例如渗透、入侵外国计算机网络获取情报以及在敌方计算机网络上植入病毒。此外,据称该局还要求其黑客攻击韩国企业。根据威胁情报查证公司Recorded Future(RF)的数据,朝鲜侦察总局在2013年的某个时候创建了这个机构。由韩国政府资助的智库——韩国国家统一研究院(Korean Institute of National Unifcation,KINU)评估说,该局大约由300名特工组成。然而,存在着相互矛盾的估计。例如,曾在朝鲜自动化大学(University of Automation)学习计算机的脱北者张世玉(JangSe Yul)表示,121局有1800名特工。

根据战略与国际问题研究中心的数据,121局设在平壤文新洞地区(Moonshin-dong)朝鲜侦察总局的总部。直到最近,121局还在中国的辽宁省(Liaoning province)省会沈阳(Shen yang)的七宝山饭店(Chilbosan Hotel)增设了一个辅助指挥所。2018年1月,作为中国对联合国制裁遵守力度加大的一部分,沈阳市政府关闭了这家饭店。根据韩国报纸《朝鲜日报(Chosun Ilbo)》的报道,饭店前门上的一则通知称“我们已经根据沈阳市政府的行政命令关闭了饭店”。这家饭店的所有业务都停止了。目前尚不清楚在七宝山饭店活动的黑客是否已经返回朝鲜,还是被转移到第三国。以前,朝鲜的网络攻击从中国、印度、马来西亚、越南和新西兰等国发起。

据称180部队(Unit 180)是另一个负责攻击金融机构的黑客部队。据脱北者金乡光说,180部队的网络行动主要是从外国银行窃取资金。尽管金乡光于2004年叛逃,但他声称自己在朝鲜国内仍然有熟人,可以向他提供有关的最新消息。他指出,180部队的黑客通常在海外活动,这样就更难把他们的行动归咎于朝鲜。金乡光没有说明这个单位是否独立于121局。

朝鲜军方还开发了独立于侦察总局的网络作战能力。在人民军内部,网络作战行动由总参谋部(General Staff Department,GSD)指挥。总参谋部负责人民军的作战准备工作。它在网络战方面的主要责任是将新兴工具和武器纳入朝鲜的作战战略。人民军没有设单一的网络司令部,而是将信息战、电子战、心理战和相关任务划分给作战局(Operations Bureau)、通信局(Communications Bureau)、电子战局(Electronic Warfare Bureau)和瓦解敌军局(Enemy Collapse Sabotage Bureau)。总参谋部的指挥自动化局(Command Automation Bureau)负责实施网络战行动。

拉撒路集团(Lazarus Group

2016年,网络安全公司Novetta认定拉撒路集团与索尼影业遭受的网络攻击有关。Novetta公司指出,该组织“至少从2009年开始就很活跃,可能早在2007年就开始了,并对2014年11月索尼影业遭受的破坏性网络攻击负责”。Novetta公司没有将拉撒路集团与朝鲜政府直接联系起来,但指出对索尼影业的攻击“是由单独的小组实施的;或者可能是一个紧密联系的集团,成员间共享技术资源、基础设施,甚至是任务”。此前,美国联邦调查局(FBI)曾将索尼影业受到的攻击归咎于朝鲜政府,指出一个自称“和平卫士(Guardians of Peace)”的组织对此负责。美国联邦调查局的评估是基于代码、加密算法、数据删除方法,以及之前与朝鲜有关的攻击中所使用基础设施的技术相似性。随后,卡巴斯基实验室(Kaspersky Labs)、迈克菲(McAfee)和Recorded Future公司对同样的恶意软件样本进行了分析,发现恶意软件工具和共享的网络基础设施中有拉撒路集团的痕迹。

2017年,美国政府认定,“隐藏的眼镜蛇(Hidden Cobra)”行动参与者也是拉撒路集团以及“和平卫士”组织的成员。华盛顿方面还将“Wanna Cry勒索软件”与该组织联系在一起。不过,美国政府和私人保安公司没有具体说明拉撒路集团是否隶属于121局或朝鲜的其他军队、政府机构。

教育机构和研究中心

朝鲜通过其教育体系招募并培训网络作战人员。据脱北者描述,在朝鲜的小学里,数学和科学成绩优异的学生与其他学生分班教学并接受特殊培训。这种培训包括计算机相关课程,但也包括学习外语,如汉语、日语和英语。据报道,朝鲜政府随后从中学里挑选500名最优秀的学生接受大学水平的培训。入选的学生就读于金日成综合大学计算机科学学院(KimIl Sung University College of Computer Science)、金策工业综合大学(Kim Chaek University of Technology)、美林大学(Mirim University)等多所大学。学生们被训练成国家资助的黑客或者朝鲜本土科技公司的软硬件开发人员。

在技术研究和网络作战项目中,美林大学似乎是最具代表性的,因为它每年只招收100名学生参加为期五年的网络情报与作战项目培训。该大学的课程包括指挥自动化、编程、自动侦察和电子战。根据韩国国家统一研究院的报告,美林大学是朝鲜侦察总局招收人员的直接渠道,每年都会接收排名前十的毕业生。

脱北者报告说,在每年挑选出接受大学水平培训的500名学生中,有些人在中国和俄罗斯留学。一位化名“郑(Jong)”的脱北者报告说,朝鲜政府根据他的考试成绩,在很小的时候就选择让他学习计算机科学。他在大学三年级时到中国留学。毕业后,“郑”先是在一家国有软件开发机构工作,后来在中国成为一名朝鲜政府资助的黑客。据“郑”交代,朝鲜政权还向中国派遣训练有素的新黑客,帮其赚钱。特工们研究视频游戏和杀毒软件的测试版,并创建盗版,通过中国的客户在网上销售。

国营的朝鲜电脑研究中心(Korea Computer Center,KCC)是朝鲜政府主要的信息技术(IT)研发中心。它也是生产、管理和销售产品的权威机构。据报道,朝鲜电脑研究中心有9个生产中心和11个地区中心,在德国、中国和叙利亚设有海外办事处。朝鲜电脑研究中心已经开发出了“Samjiyeon平板电脑”和基于Linux的“红星操作系统(Red Star operating system)”等产品。

朝鲜政权从朝鲜电脑研究中心员工参与的网络犯罪活动中直接受益。2011年,朝鲜电脑研究中心在中国的员工与中国黑客合作,查找出韩国流行的在线电子游戏《天堂(Lin`age)》的软件漏洞,加以针对性修改并售卖。韩国政府起诉了五名韩国人,他们从位于中国黑龙江的朝鲜开发商那里购买了这款软件,并将其传播出去。韩国的调查将朝鲜在华开发商与朝鲜电脑研究中心联系起来,并确定他们在为“39号办公室(Office 39)”赚钱。“39号办公室”是负责为朝鲜领导人积攒个人资金的国家机构。美国财政部于2010年8月30日对“39号办公室”实施制裁,理由是该机构从事非法经济活动以支持朝鲜政府。2017年6月,美国财政部认定其为金氏政权和军需工业部(Munitions Industry Department)筹集资金,后者因负责弹道导弹开发而受到美国和联合国的制裁,因此对朝鲜电脑研究中心实施了制裁。

网络及互联网基础设施

朝鲜将国内的互联网服务分为两种,一种是全国范围内的“光明网(Kwangmyong’intranet’)”,没有与国际互联网连接;另一种是单独的服务,提供有限制的互联网连接。朝鲜邮电部(Ministry of Posts and Telecommunications)负责通过国有的“星空合资公司(Star Joint Venture Company)”对外分配朝鲜的互联网地址。自2010年以来,中国的互联网供应商中国联通(Unicom)提供了“星空合资公司”与国际互联网的第一条连接。间歇性停电进一步限制了朝鲜的国际互联网和内部网的容量。

朝鲜政府保留了与外部的联系,让精英和接受培训的学生成为平壤的网络战士。它严密监视用户的任何颠覆性活动。在美国网络司令部延长了切断朝鲜互联网接入的行动期限后,朝鲜于2017年10月新开通了一条面向外部的互联网连接,由俄罗斯的电信公司TransTelecom提供。俄罗斯网络运营商的加入也许增强了平壤对美国网络行动的抵抗能力。

鉴于朝鲜政权对该国互联网活动的全面控制,惠普(Hewlett-Packard,HP)的安全专家得出结论称,朝鲜的网络作战人员“通常不会直接从朝鲜内部发起攻击”。归因太简单了。脱北者证实,朝鲜政府将黑客派往海外,是为了让平壤方面混淆他们的来源。事实上,Recorded Future公司在2017年4月至7月期间“几乎没有”监测到源自朝鲜本土的恶意网络活动,而此时朝鲜与美国之间的敌意正在加剧。

据报道,朝鲜在中国、印度、马来西亚、新西兰、尼泊尔、肯尼亚、莫桑比克和印度尼西亚都有大量的实体机构和虚拟存在,用于发起恶意网络攻击。源自Recorded Future公司的数据显示,朝鲜所有恶意网络活动中10%在中国发起,另有20%在印度发起。脱北者证实,朝鲜在中国沈阳部署了黑客团队,开展攻击性网络行动。Recorded Future公司指出,可能有朝鲜特工,其中最有可能是学生,分布在印度的至少七所大学和研究机构中。

朝鲜的IT产业

2015年,战略与国际问题研究中心评估称,朝鲜将发展本土的IT产业作为软件开发的重点。朝鲜电力产业部(Ministry of Electric Power Industry)和邮电部负责管理该国的IT产业。

目前,朝鲜公司为中国、俄罗斯、南亚、中东和非洲的客户提供广泛的产品和服务,包括“网站和应用程序开发,行政和商业管理软件,无线电和移动通信平台,IT安全软件和生物识别执法软件”。

总部位于马来西亚的Glocom公司是一家参与朝鲜IT出口的知名企业。联合国专家小组认定该公司是朝鲜侦察总局下属的一家皮包公司。Glocom是一家防务公司,销售无线电、军事通信设备、战斗管理系统和指挥控制系统,而与Glocom有关联的朝鲜人员金昌赫(Kim Chang Hyok)经营着其他IT公司,如总部位于马来西亚的WCW Resources Sdn Bhd公司。金昌赫是新加坡汎辉公司(Pan Systems)的法人代表。据路透社报道,据称汎辉公司运营着Glocom公司。米德尔伯里国际问题研究所(Middlebury Institute of International Studies)詹姆斯·马丁防扩散研究中心(James Martin Center for Nonproliferation Studies)的分析人士警告称,尽管目前尚未有此类报道,但朝鲜可能会使用自主开发的软件来传播恶意代码。然而,这些IT公司带来的收入确实为金氏家族政权提供了另一种收入来源,也破坏了联合国的制裁。

【1】美国总统奥巴马于2010年8月30日签署了《13551号行政命令》。该命令授权财政部制裁任何从事进口或出口朝鲜武器以及相关材料,洗钱,非法经济活动,贩运奢侈品的人员。该《行政命令》是对朝鲜击沉韩国海军天安舰及其在2009年进行核试验的回应。

声明:本文来自知远战略与防务研究所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。