勒索軟體襲擊引發對朝鮮潛伏黑客的關注

　　CHOE SANG-HUN, 孟寶勒, NICOLE PERLROTH, DAVID E. SANGER 2017年5月17日    紐約時報中文網

　　

　　Yonhap, via Agence France-Presse — Getty Images

　　周一，在位於首爾的韓國網路安全局(Korea Internet and Security Agency)，工作人員在監控勒索軟體網路襲擊的擴散情況。

　　韓國首爾——他們在祖國朝鮮的鄰國做軟體工程師等合法的工作。當平壤傳來要求實施黑客襲擊的指令，他們就分成三人或六人一組，四處轉移，以免被發現。

　　自上世紀80年代以來，與世隔絕的朝鮮就被認為在訓練數字兵骨幹，進行電子戰，攫取暴利，打擊他們所認定的敵人，這裡主要是指韓國和美國。網路安全專家表示，最近幾年，朝鮮將這些特工派往中國等亞洲國家，以掩蓋其身份。若朝鮮本土受到襲擊，這項戰略也可以用作戰爭應急計劃。

　　現在，這支潛伏的朝鮮黑客力量開始受到新的審視，這與過去四天攪動世界很多地方的勒索軟體襲擊有關。有跡象表明，朝鮮不僅實施了襲擊，還將自己最大的金主和支持者中國納入了襲擊範圍。

　　儘管目前還沒有什麼明確的證據可以將這次襲擊與朝鮮聯繫起來，但這次被用來敲詐計算機用戶、給黑客付費的勒索軟體，與朝鮮之前使用過的惡意軟體存在相似之處。

　　而且，朝鮮過去曾有意將網路襲擊的時間設在被禁武器進行測試的時候——比如上周日發射的彈道導彈，以此作為一種以不易察覺地方式炫耀該國雖然與世界孤立，但技術仍在進步的手段。

　　然而，與本國的導彈與核武器測試不同，朝鮮從來不曾宣布或承認它的計算機黑客能力——即便提起，也是否認對黑客襲擊及其他形式的計算機犯罪負有責任。

　　還有一種可能是，朝鮮與這次襲擊無關——該襲擊是利用了美國國家安全局（National Security Agency，簡稱NSA）開發的一個被竊黑客工具。周二早些時候，傳播該工具的黑客組織「影子經紀人」(Shadow Brokers)在網上發帖（該組織據信與朝鮮沒有關聯），威脅要開啟一個「數據轉儲月」(Data Dump of the Month)俱樂部，通過這種方式公開更多NSA的黑客方法給付費訂閱者。

　　韓國、美國等國家的安全官員表示，眾所周知朝鮮當局一直在大量訓練黑客和程序員，他們一方面破壞對手的計算機，一方面為政府謀取資金，其中包括通過使用勒索軟體，即敲詐受害者、使之付費來解鎖被控文件的流氓軟體。

　　韓國網路戰司令部顧問、Hauri Inc公司安全研究員崔相明（Choi Sang-myung,音）表示，這場從周五開始、影響包括中國在內100多個國家的勒索軟體襲擊使用的演算法，與索尼影業(Sony Pictures)和國際銀行即時通訊系統Swift之前遭遇的襲擊中使用的演算法類似——那兩次襲擊的源頭都追溯至朝鮮。

　　他還提到，這個勒索軟體用來刪除計算機文件的技術，與「拉撒路集團」(Lazarus Group)使用的技術有些相似——專家們用這個名字指代被認應為對索尼公司那次襲擊負責的朝鮮組織。

　　這不會是朝鮮黑客第一次使用勒索軟體發起襲擊。在去年對韓國電子商務公司Interpark實施的襲擊中，朝鮮黑客曾用勒索軟體劫持該公司的系統，要求它用數字貨幣——比特幣支付贖金。

　　政府資助的韓國國防分析研究所(Korea Institute for Defense Analyses)的研究員富赫旭（Boo Hyeong-wook，音）表示，最近這次襲擊的範圍十分廣，足以令人懷疑它得到了國家層面的支持。

　　他還提到，朝鮮黑客利用自己的能力為政府籌集急需的資金，符合他們變得日益膽大妄為的延伸邏輯。因為受到國際制裁，這個國家一直資金短缺。

　　朝鮮黑客多年來不曾在中國採取行動，脫北者與朝鮮官員表示，他們一直在向政府監控不那麼嚴密的東南亞國家擴散。

　　據信在馬來西亞等國家，有許多朝鮮黑客在信息技術公司做卧底，或用其他體面的工作掩蓋自己的身份。有時，這些黑客也會運營在線賭博網站，甚至利用勒索軟體為自己籌集資金。

　　韓國等國家的網路安全官員表示，當他們在朝鮮的上級發來指令時，這些黑客就會採取行動，對目標發起襲擊。

　　據脫北者與韓國官員透露，朝鮮早在互聯網時代之前就開始訓練電子戰兵。他們選拔有數學天分、十二三歲的神童，將他們訓練成軟體開發者、網路心理戰專家和黑客。

　　這些人也會接受外語培訓，以便在國外開展行動。朝鮮將學生送到俄羅斯、中國，更近一些時候也送往印度，學習軟體與編程技術。之後他們回到朝鮮，有些被聘為黑客。

　　勞動黨和朝鮮人民軍被認為在進行各自的黑客行動，相互競爭。這使一些人猜測，朝鮮黑客有時可能會留下一些線索——部分是為了確保自己在朝鮮拿到這部分功勞，獲得晉陞。

　　如果真的是朝鮮黑客導致中國計算機用戶遭到了那些破壞，那就是朝鮮對最重要的鄰國發起的一次非同尋常的攻擊。

　　儘管中國本身就是一個產生惡意軟體、勒索軟體及其他各種惡意計算機代碼的溫床，但之前幾乎沒有出現過朝鮮黑客襲擊中國以謀取資金的先例。

　　富赫旭表示，中國與朝鮮之間的動態關係——曾被它們自己描述為「唇齒」相依——發生變化，或許是中國這次遭遇襲擊的原因。

　　「中國加大了對朝鮮施加的壓力，」富赫旭說。「朝鮮被北京拋棄的可能性增加。於是它做了一個響亮的聲明。」