朝鲜暗中培养精英黑客，联合国报告称他们偷了6.7亿美元！

文章来源：iWeekly周末画报；作者：大侠

提到朝鲜，大家的普遍印象是一个非常封闭国家，谁能想到没有互联网的朝鲜竟然培养了一批高素质的黑客，还在世界各地到处偷钱？

四处行窃， 多国金融机构惨遭攻击

根据联合国安理会最近发布的一份报告，平壤的黑客已经窃取了大约6.7亿美元的外币和加密货币。

比如2015年，朝鲜黑客从孟加拉国央行窃取了8100万美元；2018年，他们从印度的宇宙银行（Cosmos Bank）窃取1350万美元；今年早些时候，这群黑客又侵入了智利银行的ATM网络，窃取了1000万美元。

朝鲜黑客还攻击了许多加密货币交易所，因为加密货币交易并不由受监管的金融机构处理，且难以被追踪。据CoinDesk Japan消息，朝鲜黑客组织Lazarus曾在2017年1月至2018年9月发动5起行动，盗窃总额高达5.71亿美元。Group-IB的网络安全专家则曾指出，在所有密码交换攻击中，约65%是由朝鲜黑客发起的。

黑客帝国，落后朝鲜暗中培养高端黑客

朝鲜黑客到底是怎样的存在？2007年叛逃到首尔的张世烈（Jang Se-yul）曾在访谈中揭秘这个神秘组织的部分真相。

张世烈在接受Business Insider采访时表示，朝鲜有一个黑客部队，名为“121局”（Bureau 121）。该组织培养的黑客主要致力于开发自己的黑客程序和计算机病毒，不依赖于外部世界已经建立的程序。

121局的绝大多数黑客都来自自动化大学，其入学筛选过程十分严格，每个班只接收100名学生，而申请者有5000人之多。他们每天上6节90分钟的课，学习从C语言到Linux等不同的编程语言和操作系统。

在这些黑客正式加入121局之前，要接受近9年的严格训练，最小的从17岁开始就接受训练。他们会根据攻击国家的不同（比如美国、韩国、日本等）被分配到不同的小组。一旦分派的小组确定，他们就会被派往相应的国家呆上至少近两年的时间，学习当地的语言和文化。

张世烈说，他们花了很多时间剖析微软的程序，比如Windows操作系统，以及如何攻击美国或韩国等敌国的整体计算机IT系统。他相信朝鲜黑客和谷歌或中央情报局的顶级程序员一样优秀，甚至更好。“尤其是在编码方面，我相信他们会做得更好，因为他们在这方面投入了这么长时间。”

张世烈估计，121局大约有1800名网络战士。不过他说，即便是黑客自己也无法确切知道到底还有多少其他人在为朝鲜的“121局”工作。

而这个组织之所以规模庞大，一方面是因为培养一名网络间谍十分“便宜”，Business Insider认为，朝鲜也许意识到自己在传统战争领域几乎没有打赢的机会，而在数字世界，依靠少量资源就可以搅乱大局。

另一方面则是因为民众对这一职位趋之若鹜——些黑客的生活条件会比普通朝鲜人好很多，按张世烈的话来说，他们是“朝鲜最上层那1%的人”。

兴风作浪，攻击行动仍在继续

可千万别因为他们是朝鲜人而瞧不起这些人的业务能力。过去5年里，不少著名的网络攻击就与这群黑客有关。

①“DarkSeoul”事件

最大的一起案件被称为“黑暗的首尔”（Dark Seoul）， 2013年3月至6月发生一系列黑客攻击针对韩国的银行和媒体公司超过48000台的电脑。3月20日，三间韩国电视台和一间银行的电脑终端机，疑似因为网络攻击行动遭到瘫痪。自动提款机和移动设备付费机制也遭到此次攻击所影响。几个月后，韩国政府的网站成为攻击目标，总统的网站被一条写着“统一大业主席金正恩将军万岁!”

朝鲜曾因为在2009年与2011年发动类似的攻击而受到责备，据韩国官方调阅事发相关的中国IP位址，更加提升北朝鲜发起此事件的嫌疑程度。韩国的情报专家认为，朝鲜经常使用中国的IP地址，隐藏他们的攻击行为。但平壤方面否认了黑客指控。  

②索尼影业遭黑客攻击事件

▲《The Interview》海报2014年11月24日，黑客入侵索尼后销毁文件，将公司通讯信息泄漏到网上，还要求索尼公司停止放映涉嫌抹黑朝鲜政权的黑色喜剧电影《采访》（The Interview）。时任美国总统奥巴马认为黑客的行为严重威胁了言论自由，还对朝鲜政府进行公开谴责，并加紧了对朝经济制裁。

▲索尼员工开电脑后，先是听到一阵枪响，然后就在自己的屏幕看到这个红色骷髅画面。朝鲜表示自己确实没有参与此次活动，朝中社报道称:“黑客入侵索尼影业可能是朝鲜支持者和同情者的正义行为。”“黑客活动分子”团体（为传播政治信息而攻击知名目标的网络活动人士）首先声称对此事负责。  

③“WannaCry”病毒

▲电脑中毒后页面。2017年5月，一个名为“WannaCry”的病毒一夜之间袭击了全球的Windows设备。“中招”的电脑文档被加密，用户必须在3天内交300美元等价的比特币赎金才能解锁，否则赎金翻倍。一周内不采取行动则直接销毁文档。

▲首轮受到攻击的地区当时中国国内也有近3万个机构遭入侵，包括学校、银行，甚至政府机构。美国政府经过调查，在此次的公开声明中表示，“非常确定”黑客组织“拉撒路”（Lazarus Group）发动了这场传播速度极快的病毒战，而外界普遍认为该组织效力的对象正是朝鲜政府。

④新一轮大规模攻击

今年2月，在特朗普总统在河内会见朝鲜领导人之际，朝鲜黑客攻击了美国和盟国的100多家公司的计算机网络。

▲特朗普与金正恩会面

3月，安全公司迈克菲（McAfee）称，过去18个月里，朝鲜黑客攻击了美国和欧洲的银行、公用事业公司和能源公司，作为金融中心的纽约是主要的目标。袭击的确切动机尚不清楚，袭击都经过了充分的研究，并且高度集中，在许多情况下，针对的是那些能够广泛访问公司计算机网络和知识产权的工程师和高管。

自索尼遭到攻击以来，McAfee的研究人员表示，朝鲜黑客的能力有了显著提高：他们更善于隐藏自己的行踪，并研究自己的目标。

例如，他们搜索了微软旗下的商业网站领英（LinkedIn），找到行业招聘人员的资料。他们发送的电子邮件似乎来自这些招聘人员的账户，通常用完美的英语介绍工作机会。当攻击目标点击电子邮件中的附件或链接时，黑客就进入了目标的电脑。

攻击绝大多数都在美国，最常见的是休斯顿和纽约，前者是石油和天然气中心，后者是金融中心。其他主要目标包括伦敦、马德里、东京、特拉维夫、罗马、曼谷、台北、首尔和中国香港。

日经亚洲评论认为，世界各国政府和企业都在加紧防范朝鲜的攻击，尽管朝鲜的手段越来越复杂，各国网络防御部门之间的进一步合作可能是找到有效解决方案的关键。

参考来源：

https://www.forbes.com/sites/leemathews/2019/03/11/north-korean-hackers-have-raked-in-670-million-via-cyberattacks/#4a68afc47018

https://asia.nikkei.com/Spotlight/N-Korea-at-crossroads/North-Korea-stole-cryptocurrency-via-hacking-UN-panel

https://www.nytimes.com/2019/03/03/technology/north-korea-hackers-trump.html

https://amp.businessinsider.com/north-korean-defector-jang-se-yul-trained-with-hackers-2014-12

（注：本文所有观点仅代表作者本人，均不代表凤凰网国际智库立场）