朝鲜奥数天才为国做黑客 已在全球打劫数十亿美金

Ed Caesar在《纽约客》上发表文章,详细描述了朝鲜通过黑客技术谋财的行为,一个如此闭塞的国家却拥有强大而缜密的黑客技术,各国都感到震惊和头疼,这些高技术的背后,是一群高智商的数学天才,他们有的曾在奥林匹克竞赛上大放异彩。本文转载自加美财经,不代表本站立场。

日本黑帮成了朝鲜盗窃“快钱”的工具

下村是日本最大的黑帮家族——山口组的成员,当他的一位上级问他是否想要一夜暴富时,他很爽快地答应了。

那是2016年5月14日,下村当时住在名古屋。他三十二岁,瘦削身材,一双炯炯有神的眼睛,他很注重仪表,常常穿着西装,脚上踩着一双擦得锃亮的皮鞋。他对自己的外表很是满意,但他在公司里不过是个收收债,打打杂的小角色。

上级向他承诺,这个计划的风险很低,并指示他当天晚上在名古屋的一家酒吧参加一个会议。下村现在已经离开山口组,他要求只透露自己的姓氏。当下村出现时,他看见了另外三个黑帮成员,都是他不认识的。

和许多日本黑帮成员一样,他有韩国血统,另外两人也是韩裔日本人,他们用韩语交谈了一会儿。上家终于来了,五个人进了一个包间。每个参与者都拿到了一张纯白色的信用卡。卡上没有芯片,没有号码,也没有名字,只有一条磁条。

上家从一本薄薄的手册上读出了指示:第二天一早,也就是周日,他们要去任何一家7-11便利店,在店内的自动取款机上使用他们的白卡。他们不能使用普通银行取款机,也不能使用其他便利店的取款机。

犯罪分子每人一次必须取10万日元(约合900美元),在每台机器上的交易次数不能超过19笔。如果有人在一台自动取款机上取款20次,他的银行卡就会被冻结。取款时间是早上5点到8点间。

他们被要求在交易提示中选择日语,下村意识到这表明这张卡是外国的。在取了19次款之后,他们要等上一个小时,然后再去另一家7- 11便利店。他们可以保留10%的现金,其余的归老板所有。最后,上家给每个参与者一个密码。

星期天早上,下村起得很早,他穿着牛仔裤、太阳镜、棒球帽和一件旧T恤。他走到一家7-11便利店,在那里买了一个饭团和一杯可乐,让自己冷静下来。当取款机屏幕问他选择哪一种语言时,他在选择日语时有些颤抖。他取了10万日元,一次接一次。店里除了那个收银员,没有别的人,那个收银员对他也不感兴趣。

第一次取款后,下村打印了一张收据,他在纸上看到一个外国名字,他不知道是哪个国家的名字,但他肯定那不是日本人的名字,然后他把收据塞进了口袋。上午8点左右,他在该地区的几家ATM机上一共取了38笔钱,然后跌跌撞撞地回家了,他的口袋鼓鼓的,380万日元可是一大笔钱。下村拿了他的百分之十,大约是三千五百美元,把它藏在他公寓的抽屉里。下午3点,他见了上家,把剩下的钱交给了他。后来,他发现另一个黑帮成员带着钱和卡潜逃了。

这位上家告诉下村,他将保留现金的5%,其余的钱交给他的老板。当下村把钱交上来时,他感觉到上级已经征募了许多人。他是对的。正如报纸很快报道的那样,当天上午,日本各地大约1700家7 – 11便利店的ATM机上被取走了超过1600万美元,使用的数据是从南非标准银行窃取的。

报纸推测,7- 11之所以成为攻击目标,是因为它们是日本唯一一家现金终端全部接受外国卡的便利店。在犯罪行动后不久,日本许多ATM机的取款限额被降至5万日元。

下村推断,在这场骗局中,他处于利益链的最底层。真正的赚钱者在更高的地方。他不知道的是什么人,直到去年接受本杂志的采访时,他才知道在利益链顶端者的身份。

据日本警方称,在提款机盗款案后不久,7- 11行动的主谋进入了朝鲜。下村在不知不觉中为朝鲜人民军筹钱,这是一种后来被称为“快钱”(FASTCash)诈骗行动的一部分。

朝鲜通过网络已经攫取了20亿美元

在东亚夜间的卫星图像中,几乎所有的地方都灯光闪烁,除了黄海和日本海之间,也就是北纬38度到43度之间的那片区域一片漆黑.那便是朝鲜,这个国家只有首都平壤散发出明显的现代化气息。

这个国家边界被关闭,人民被隔离。外国人很难了解朝鲜国内发生的事情,普通朝鲜公民想了解外部世界就更困难了,只有1%的朝鲜人可以上网。

然而,与此矛盾的是,朝鲜政府培养出了一批世界上最老练的黑客。乍一看,这种情况是反常的,甚至是滑稽的,就跟牙买加赢得了奥运会雪橇比赛的金牌一样,但来自朝鲜的网络威胁是真实的,而且还在不断增长。

与包括美国在内的许多国家一样,朝鲜为军队配备了攻击性和情报收集的网络武器。例如,2016年,来自平壤的军事程序员窃取了超过200GB的韩国军队的数据,其中包括一份名为“5015行动计划”的文件。

这份文件详细分析了与朝韩战争会如何继续下去,特别提到了通过刺杀金正恩“斩首”朝鲜的阴谋。这一泄漏事件及其严重,以至于首尔智库National Unification研究所的前所长金泰宇告诉《金融时报》:“我希望是韩国军方是故意泄露了机密文件给朝鲜,目的是为了制定第二个战略。”

此外,朝鲜是世界上唯一一个政府,为了金钱利益而进行黑客的国家。该国军事情报部门的一个单位,叫做侦查总局(the Reconnaissance General Bureau),专门训练黑客。2013年,金正恩把在“勇敢的侦查总局”工作的人形容为“为了建设一个富强国家而战的英雄”。

朝鲜的网络计划是多线进行的,其策略包括抢劫银行、部署勒索软件和从在线交易所窃取加密货币。很难量化平壤黑客的成功程度。与恐怖组织不同的是,朝鲜不会承认发动了攻击,政府也会反射性地予以否认。

因此,即使是经验丰富的专家有时也会在判断个别袭击是否是朝鲜所为时产生分歧。然而,2019年,联合国制裁朝鲜问题专家小组发布了一份报告,估计朝鲜通过网络黑客筹集了20亿美元。自该报告撰写以来,有大量证据表明,朝鲜网络威胁的速度和独创性都在与时俱进。

据联合国称,朝鲜黑客窃取的资金很多都用于朝鲜人民军的武器计划,包括其核导弹的开发。网络黑客是该国长期以来规避制裁的一种廉价而有效的方式。

从20世纪90年代初开始,朝鲜领导人就已经注意到了互联网世界带来的机会。首尔高丽大学的学者们在2019年撰写的一篇关于朝鲜政权的论文中指出,金正日在观看了美国在两次海湾战争中的军事行动后,得出的结论是“现代战争就是电子战争”。

2005年,一本朝鲜人民军的书籍援引金正日的话说:“如果互联网像一把枪,那么网络攻击就像原子弹。”他的儿子金正恩于2012年上台,看到了这项技术的商业潜力,指出他的军队可以“穿透任何制裁”。

他很快宣布,网络威力是“一把万能的剑,与核武器和导弹一起,保证了朝鲜人民武装部队无情的打击能力。”然而,朝鲜在2014年至2017年实施了三项重大攻击后,西方才真正意识到朝鲜网络力量带来的危险。

三次重大攻击

第一次是索尼电影公司被黑客攻击。2014年6月,索尼发布了电影《刺杀金正恩》(The Interview)的预告片,这是一部塞思·罗根和詹姆斯·弗兰科主演的喜剧,讲述的是被美国中央情报局招募去暗杀金正恩的倒霉记者的故事。

朝鲜的一位发言人称这部电影是“肆无忌惮的恐怖行为”,并威胁如果制片厂继续发行这部电影,将会做出“无情的回应”。但索尼继续发行该影片。(罗根在推特上开玩笑说,“人们通常不会因为我的一部电影而杀了我,除非他们为这部电影付了12美元。”)

那年11月,索尼员工报告称,他们的电脑遭到了一个自称“和平卫士”组织的入侵。在该公司的许多电脑被入侵后,索尼关闭了其余的电脑,以阻止数据泄露。有几天,索尼影业在没有网络的情况下运营。

而在随后的几周里,黑客们泄露了关于公司及其员工令人尴尬的,在某些情况下是破坏性的电子邮件、工资、医疗记录、电影和剧本。

五部即将上映的索尼电影和下一部詹姆斯·邦德电影《007:幽灵党》的剧本都被放到了网上。该工作室的负责人之一艾米·帕斯卡在黑客发布电子邮件后辞职。在邮件中,她与制片人斯科特·鲁丁开玩笑说,自己在与奥巴马的一次会议上,很聪明的提到的有关奴隶制的点子。

联邦调查局很快将这次袭击归咎于朝鲜,平壤方面否认与此有关,但宣称这次黑客攻击是“正义的行为”。奥巴马承诺对他称之为“网络破坏”的行为做出“适当的回应”。

美国众议院国土安全委员会主席迈克尔·麦考尔后来告诉记者,针对索尼遭黑客攻击,美国已经发起了一系列“网络回应”,不仅仅是2014年12月朝鲜发生的10小时网络中断事件。

如果说索尼遭受的攻击带有卡通化的色彩,那么朝鲜发动的第二次大规模攻击就像是一场劫难。

大约在黑客侵入索尼公司网络的时候,该团伙的成员,后来被称为拉撒路集团(Lazarus group),开始探查孟加拉国首都达卡市的银行。与拉撒路集团有关的账户,向孟加拉国银行和达卡的其他金融机构发送了一系列电子邮件。

这些邮件包含一个指向恶意软件的链接,如果点击该链接,朝鲜就可以进入银行内部计算机系统。2015年的头两个月,至少有三名孟加拉国银行员工,在这些“网络钓鱼”电子邮件的诱骗下载了病毒附件。

到那年3月,黑客已经在银行的电子通信系统中建立了一个“后门”,允许他们模仿银行加密通信协议的方式互通信息,且不会向安全部门通报他们的存在。这些隐藏的黑客随后花了十多个月的时间从内部了解孟加拉国银行的运作情况。

和发展中国家的许多国家银行一样,孟加拉国银行在纽约的联邦储备银行有一个外汇账户。2016年2月4日,美联储收到孟加拉国银行的指令,要求其向多个账户支付数十笔款项,总额近10亿美元,其中一个账户位于斯里兰卡,另外四个账户位于菲律宾。这些请求是通过位于布鲁塞尔附近的环球银行金融电信协会(swift)网络发出的。

事实上,拉撒路的黑客使用在孟加拉国银行网络里偷来的用户名和密码,发送了这些请求。在他们发给美联储的欺诈性信息中,拉撒路成员加上了许多真实的、之前执行过的swift转账细节,这样就不会明显看出他们自己的请求是伪造的。

为了进一步掩盖他们的踪迹,黑客们安装了一个网络更新程序,阻止孟加拉国银行读取swift信息——这个花招后来给安全专家留下了深刻印象,这就相当于在破坏了银行的监控摄像头后闯进了银行的金库。

哈佛大学贝尔弗科学与国际事务中心研究朝鲜网络威胁的研究员普里西拉·森内,在国家安全局工作了12年。她告诉我针对孟加拉国的行动很“华丽”。同时她指出,黑客们不仅表现出技术上的技巧,他们在达卡劫案中的耐心工作,“标志着更成熟的战术和操作”。

美联储批准了前五次付款请求,总额为1.01亿美元。接下来的30笔共计8.5亿美元的付款,很幸运地被延迟了,一个自动警报系统在检测到汇款请求的文本中,出现了“Jupiter”这个词后被启动,而这个词恰好是菲律宾银行分行的地址。这一警告之所以被触发,是因为一家与此事毫无关联的企业——雅典的Jupiter海运公司,因其与伊朗有关的活动而被列入了规避制裁的观察名单。

在发现这一情况和另一些小的违规行为后,美联储对收款人账户提出了冻结请求。但正如黑客们所预料的那样,由于抢劫发生在菲律宾的一个假日周末,冻结请求在48小时后才得到处理。

到那时,大约有8100万美元已经被转到了另一个账户。这些钱大部分都被取出来,兑换成菲律宾比索现金,然后换成赌场筹码。当时,菲律宾的赌博机构不受反洗钱规定的约束。虽然不是十亿美元,但也是一笔巨款。

到朝鲜发动第三次大规模攻击时,没有人再觉得朝鲜政府的网络威胁有什么好笑的了。2017年,一种名为“Wannacry 2.0”的勒索软件破坏了美国、欧洲和亚洲的网络,包括波音公司、英国国民医疗服务体系和德国联邦铁路的计算机系统。黑客们对一台又一台电脑进行加密,然后要求支付比特币支付才能解冻系统。

朝鲜定制了一些勒索软件代码,然后将其从一个设备传播到另一个设备,方法是使用一种危险的美国代码,名为“永恒之蓝”(EternalBlue)。一个自称“影子经纪人”的组织从美国国家安全局窃取了这段代码,然后发布到了网上。

一位来自英国的22岁黑客和恶意软件专家马库斯·哈钦斯,曾在他父母家的一间卧室里工作,他分析了Wannacry代码,并想出了如何将其产生的大部分流量导入一个“天坑”,“天坑”是一个恶意软件无法造成伤害的网址。据《连线》报道,哈钦斯意识到自己已经颠覆了黑客行为后,就上楼告诉了家人。他当护士的母亲当时正在切洋葱。

她说:“做得好,宝贝”,然后继续做饭。

过去是香烟、假币、冰毒,现在是互联网

战略与国际研究中心高级研究员小约瑟夫·贝穆德斯解释说,在朝鲜战争之前,走私者和军阀就在该地区兴盛起来。自朝鲜民主主义人民共和国诞生以来,走私不仅被用来为政权获取现金,还被用来获取政治和社会资本。贝穆德斯说,金氏父子培养了一种“只有创造收入才能与领导人愉快相处的氛围”。

直到最近,朝鲜最赚钱的由国家支持的活动包括香烟走私、制造假币、濒危物种交易,以及制造和分销冰毒等实验室制造的非法毒品。在70年代,被派往国外的朝鲜外交官经常走私毒品。上世纪80年代,朝鲜造假者制造了一种非常逼真的百元“超级钞票”。

2006年,美国特勤局估计,他们已经从市面上清除了价值5000万美元的假钞,七年后,美国财政部重新设计了百元美钞,增加了防伪特征。许多传统的犯罪收入流持续流向平壤,在过去10年里,朝鲜的重点转向了互联网。

朝鲜黑客狂潮的范围和创造性让许多人猝不及防。这不仅是因为平壤的网络战士可以破坏世界各地的计算机网络,他们还在开发新技术方面表现出了真正的创新。

为企业提供互联网安全问题咨询的律师卢克·登博斯基,第一次面对朝鲜的网络威胁是在索尼遭遇黑客攻击时,当时他是司法部国家安全部门的司法部长助理。后来,他目睹了孟加拉国的抢劫事件——这在复杂度上是一个惊人的飞跃。

他说:“对于像我这样的人来说,尽管在这一行已经很多年了,看到一个相对孤立的国家不只是简单地复制别人的方法或方案,而是真正地开辟了新的领域,这真的令人震惊。”

哈佛大学的分析师普莉希拉·森内告诉我,现在回想起来,朝鲜转向网络是一种非常自然的发展。她说:“朝鲜人了解犯罪行为,他们在很多很多地方都融入了犯罪灰色的地下世界。所以很自然地覆盖了这个新领域——互联网。它将犯罪组织和走私者联系在一起。”

我们讨论了2016年的日本ATM骗局。下村可能不认识他的终极上家,但日本黑帮几十年来一直在从朝鲜走私非法产品。在世纪之交,朝鲜供应了日本约40%的冰毒。因此,如果平壤的网络骗子需要日本人员到名古屋取钱,他们向黑帮可以提出请求,并很快就会得到回应。

哈佛大学的分析师森内还指出,尽管朝鲜黑客在技术上很娴熟,但他们更重要的特点是一种缜密的计划。在孟加拉国银行一案中,黑客在达卡进行了第一次侦察后,等待了17个月才完成行动。

他们已决定在周末和假日实施行动;他们计划好了如何迅速将现金从接收银行转移出去;他们选择了那些对客户信息了解特别宽松的机构,一旦他们实施了盗窃,他们就利用菲律宾当地的承包商来洗钱,有效地隐藏了资金踪迹。

他们成功的前提不仅仅是了解计算机的工作,还知道人们如何工作。森内告诉我:“他们很聪明,这种虚拟世界和现实世界的连接让人印象深刻。”

在朝鲜,IT达人是国家精心培养的黑客

在大多数国家,黑客们在青少年时期在家通过电脑实验来发展他们的技能。瓦解Wannacry的马库斯·哈钦斯就是这样一位民间高手。

但朝鲜在网络黑客领域的人才,是在温室里精心培养出来的。很少有家庭拥有电脑,国家对互联网的使用进行严格把关。

朝鲜黑客挑选和训练的过程,似乎与前苏联阵营培养奥运选手的方式类似。研究朝鲜问题的史汀生中心研究员马丁·威廉姆斯解释说,常规战争需要昂贵而繁重的武器开发,而黑客程序只需要聪明人。朝鲜虽然缺乏许多其他资源,但“并不缺乏人力资本”。

鼓励最有前途的学生在学校使用电脑,那些擅长数学的人被安排进入特殊高中学习。最好的学生可以出国,参加国际数学奥林匹克竞赛等项目。许多菲尔兹奖(著名的数学奖)的获得者在青少年时期就在竞赛中取得了很高的名次。

来自朝鲜的学生在国际数学奥林匹克竞赛中的表现,往往令人印象深刻,朝鲜也是唯一一个因涉嫌作弊而被取消参赛资格的国家:朝鲜代表队曾在1991年和2010年两次被逐出比赛。在2019年在英国巴斯举行的国际学生比赛中,朝鲜选手坤松阳(音)在六项挑战的前五项中取得了完美的成绩,与来自中国、韩国、波兰和美国的学生并列第一,直到最后一题,他得了一个很低的分数。

平壤的两所大学,金策工业综合大学和金日成大学,从数学和计算机专业高中选拔出最有才华的青少年,然后教他们高级代码。这些学校在国际大学程序设计竞赛(出类拔萃的书呆子们的狂欢)中常常胜过美国和中国的大学。在2019年在葡萄牙波尔图举行的国际大学生程序设计竞赛(ICPC)决赛中,金泽大学排名第八,排在牛津、剑桥、哈佛和斯坦福之前。

安德烈·昂塞斯库代表牛津大学参加了2019年国际计算机编程大赛,他从10岁起就在家乡罗马尼亚参加编程比赛。他告诉我,国际计算机编程大会不仅有趣、适合交际,而且还是大型科技公司的招聘场所。

安德烈说,参赛选手们后来都成了杰出的程序员。他提到了尼古拉·杜罗夫,他是2000年和2001年圣彼得堡州立大学队的冠军队员,后来共同创立了俄罗斯社交媒体应用程序VK和Telegram。

安德烈补充说,在波尔图,朝鲜选手和其他选手住在同一家酒店。但他从未见过他们与其他国家的学生交往。他说,虽然比赛测试的是编程的流畅性,但真正测试的是解决问题的能力。这往往归结为纯粹的数学。

安德烈说,为了取得好成绩,每个团队都需要至少一个“非常擅长数学”的人。学生们以三人为一组,被要求编写代码来解决一个抽象的谜题,但每次只有一个团队成员编写代码。

2019年ICPC的编码挑战极其困难。举个例子:“你们学校的棋盘游戏俱乐部刚刚举办了一场跳棋比赛,要求你对比赛进行记录。不幸的是,在回家的路上,你把所有的文件都掉到水坑里了!灾难啊!你写的很多东西现在都没法读了,你剩下的就是各种游戏中间的走法列表。你是否有办法重现这些游戏中发生的事情?”

学生们编写的代码需要在一秒钟内解决这个问题。安德烈说,要赢得比赛,你必须快速、协作和创造性地工作。他告诉我:“最难的不是编程,而是思路”。

他补充说,这类比赛的参赛者很可能就是“下一代”的顶级程序员和研究人员。不难想象这样的比赛也会发展黑客犯罪的技能,因为“一旦你发现了一个系统运行方式的奇怪之处,那么它就会变成一个试图利用它的数学问题。”

在这类活动中展示的编码和分析技能就像《星球大战》电影中的原力:它既可以用于光明面,也可以用于黑暗面。

朝鲜黑客们驻扎在世界各地,但核心骨干必须在平壤

据许多人估计,大约有7000名朝鲜人在朝鲜的网络项目中工作。人员被分成军队的参谋部和侦查总局,后者类似于美国的国家情报总局。2019年韩国大学论文分析了黑客在这些部门中的分工,总参谋部的下属机构中,有一个部门的名字让人不寒而栗,叫“瓦解敌人机构”,负责“信息战和心理战”。

大部分的工作是由侦查总局进行的。高丽大学的研究人员称,侦查总局的一个名为“180单位”的部门负责“开展网络行动,从朝鲜境外窃取外国资金”。拉撒路集团是朝鲜最知名的商业黑客组织,但这个组织可能包括:在西方执法和情报机构中被称为BeagleBoyz、hidden cobra和apt38(apt代表“高级持续性威胁”)。似乎没有人确切知道每个小组有多少人工作,哪个小组赚的钱最多。

另一个令人好奇的问题是,从地理位置上讲,朝鲜黑客是在哪里工作的。森内是哈佛大学的研究员,多年来一直在追踪朝鲜互联网用户的元数据。2017年至2020年期间,她研究了朝鲜在网上的微小足迹。在任何时候,这个国家可能只有几百个IP地址在使用。

根据这些线索,她得出结论,这个国家的大多数程序员都在朝鲜以外的地方工作。森内说,当然,朝鲜的大多数新IT毕业生似乎都在外国待过一段时间,在那里他们学习了宝贵的“现实世界”技能。这些外国单位实质上既是利润来源,又是训练基地。

最近,一名美国分析家向我展示了一个小组的数字足迹,他确定,那是在中国边境城市丹东工作的朝鲜人。该小组的工作似乎不痛不痒——没有证据表明它参与了恶意黑客行为。该组织通过电子邮件地址bravemaster619@hotmail.com进行交流,以近乎完美的英语在程序员网站上招募自由职业者。

Bravemaster619在GitHub上的简介是:“想拥有自己的网站吗?想要添加一些功能或自定义现有系统的设计吗?想把你的网站提升一个档次吗?我用经验丰富的开发技能来帮你!”

大概是由于制裁条款的缘故,这些在丹东的朝鲜人没有宣传他们的国籍,而且收取的价格很有竞争力。

去年,我采访了35岁的李贤胜(音),他于2014年从朝鲜叛逃,现在住在美国。他曾在朝鲜政府旗下的一家贸易公司工作,并曾在中国大连居住过一段时间。

他说自己对这个黑客程序没有特别的了解,但在大连工作时,他知道有三个朝鲜“IT技术工人“驻扎在大连。李贤胜告诉我,他曾经去过大连一个所谓的黑客宿舍。那里的人四个人住一间房,有时六个人一间。

在那个部门工作的十来个人告诉李贤胜,他们大部分时间都花在为日本、韩国和中国市场设计手机视频游戏上,赚了“大钱”。一家中国中介公司出售了他们的产品。李贤胜表示,虽然编码工作待遇不高,但他遇到的朝鲜人很少想要升职,因为升职意味着要回到平壤。

另一名叛逃者证实了这个说法,他经营着一家总部位于韩国的秘密无线电网络,其广播信号渗透到朝鲜。他告诉我,他熟悉朝鲜的网络项目,而且据他所知,朝鲜的IT工作者在国外从事的工作往往是“低级别”的。该项目中的核心骨干要么被留在平壤,要么被遣送回国,从事他们最重要的政府工作——这是一种防止从事高优先级行动的黑客在国外被抓获的策略。

这位叛逃者告诉我,最好的黑客在平壤,他们参与计划,收集了数百万美元的外汇,他们获得了汽车或舒适的房子作为奖励,或者其他被称为金正恩特殊礼物的物质利益,这些普通民众无法获得。这名叛逃者说,这个信息来自他在朝鲜的一个朋友,他可以“绝对信任”他,但这位朋友没法与记者交谈,否则会有生命危险。

一名调查违反制裁行为的美国调查员,在一家知名的非政府组织工作,他没有获得公开发言的授权,但他同样相信,朝鲜黑客团队的骨干都在平壤。最有可能的是,这些特工利用国外的虚拟专用网络(CPN)从国外接入互联网,从而掩盖了他们的位置。

朝鲜网络黑客最常见的目标是它的死敌韩国,韩国已经遭受了数百次重大攻击。最近,我采访了住在首尔的安全情报分析师西蒙·崔。2008年,在服兵役期间,他得知朝鲜对韩国军队发动了一次网络攻击——朝鲜侦察总局试图部署恶意软件,以窃取高度机密的武器机密,但没有成功。西蒙·崔开始对朝鲜黑客构成的威胁着迷。他说:“那一次后我意识到网络战争是真实存在的。”

兵役结束后,西蒙·崔找了份网络安全方面的工作。他还开始在韩国组织一个名为“问题制造者实验室”的志愿者团队,专门研究来自朝鲜的恶意软件,以便更好地了解它。这个组织现在有10人,成员有男有女。

虽然这些成员都是业余爱好者,并不是间谍,但他们的评估被认为是严谨和敏锐的。在他的日常工作中,西蒙·崔在暗网中搜寻,代表执法机构调查毒品交易和其他犯罪,下班后,他思考平壤的黑客问题。

西蒙·崔告诉我,大约有1100名朝鲜人编写了恶意程序。他给我看了一些恶意软件代码,写于2016年,旨在掩盖一起朝鲜银行抢劫案的痕迹。这个恶意软件由一排排看似随机的字母和数字组成,成对地流淌下来。

在页边空白处有一些可以辨认的英语单词:比如“窗户”、“每个人”,用神秘的标点符号连接起来。西蒙·崔能够熟练而敏感地分析这一切,他说,中国和美国的程序员是世界上最好的,但是俄罗斯和朝鲜并列第二。

在崔检查过的所有恶意软件中,他最佩服的是Stuxnet蠕虫病毒。2010年,以色列和美国联合攻击伊朗的核离心机时,就使用了这种病毒。他以艺术历史学家讨论历史名画的口气评论了这个病毒:它优雅、精确而复杂。

西蒙·崔告诉我,朝鲜的代码是“男性化的”:“非常简单,非常实用,直奔主题和目标。”

他补充说,“它们成功的关键在于它们的无情:它们就是无休止地攻击。”

他解释说,有时编码人员会在脚本中嵌入签名或首字母。这是一种标签,或者说是炫耀。在他检查的恶意软件中,他偶尔会注意到前国际数学奥林匹克竞赛选手的首字母缩写。有一次,在检查与2013年针对一家名为ICI的印度银行时,西蒙·崔注意到一个名为kut_rsc1994的标签,属于金策大学的一名程序员。(“KUT”是该校的一个既定标签。)

经过进一步检查,西蒙·崔认为这名程序员是2011年在国际数学奥林匹克竞赛为朝鲜赢得银牌的柳宋哲(音)。后来,柳宋哲在一个黑客网站上发布了这个标签,似乎也证实了这个联系。

西蒙·崔在给现实生活中的人贴上变成标签上表现得很谨慎:谁能确切知道哪个人在哪个角色的背后?朝鲜人很可能交换了身份。不过,他感到自信的是,他从未检查到朝鲜女性编写的代码。当他告诉我这个时,我笑了,他怎么可能知道呢? 他肯定道:“这些都是男人。”

他说,朝鲜仍然是一个传统的、男性主导的社会,侦察总局极不可能培训女性从事此类工作。

这些问题制造者经常给最有成就的朝鲜黑客起代号,但西蒙·崔不愿告诉我目前在平壤工作的任何人的名字。我想知道他是否觉得了解这些程序员。他告诉我:“我想我们是有共鸣的,他们也肯定看到了我们分析的内容,因为我们会把它们公布,这就是我的感觉——我们彼此都了解对方。”

朝鲜黑客也有失手的时候

互联网,借用诗人约翰·多恩的诗句:“把一个小房间变得无处不在”。朝鲜黑客已经在150多个国家展开了行动。2018年11月,智利圣地亚哥的一名程序员被招募到一家外国担任高级职位。这位程序员曾在连接智利所有ATM的网络Redbanc工作,他通过领英受邀申请位于安提瓜岛的圣约翰,一个第三方支付处理器公司Global Processing Centre的软件开发职位。这个职位是兼职的,且薪酬丰厚:程序员可以在不影响他本职工作的情况下赚外快。

Global Processing Centre的工作机会来自一个自称是该公司首席信息官贾斯汀·杨。这位程序员被引导到贾斯汀·杨的私人电子邮件地址。求职过程中,贾斯汀·杨用西班牙语对他进行了视频面试。在至少三次的面试后,贾斯汀·杨说他期待着有一天能去智利与他面谈,这个程序员被要求下载并运行一个程序,生成一个简历的PDF文件。他照指示做了,但他再也没有收到贾斯汀·杨的消息。

当这位程序员和贾斯汀·杨还在通信时,一位名叫胡安·罗亚的网络安全专家在Redbanc开始了新的工作。当他检查该公司的内部网络时,他发现该网络安全系统已被攻破。有一些链接指向不寻常的互联网域名,他没想到会在网络上看到。

罗亚平时密切关注科技新闻,他对朝鲜攻击孟加拉国银行的事件非常感兴趣,并研究了拉萨路集团和APT38的活动。他了解到朝鲜的“快钱”(FASTCash)攻击,比如在日本部署的那次。

在他调查Redbanc网络中的“古怪”时,他和该公司反应团队的成员得出结论,认为该公司受到了一个国家行为体的攻击,很可能来自平壤。在其他线索中,Redbanc的一个终端莫名其妙地查询了一个朝鲜的IP地址。罗亚判断形势严峻,建议Redbanc关闭联网一周。

罗亚记得,他的老板们觉得他的要求“令人震惊”,但他们还是照办了。关门后的一项内部调查显示,该公司确实处于FASTCash黑客入侵的企图之中。这种攻击通常需要几个月的部署才能执行。

黑客们首先利用第三方犯罪集团进行“社会工程”。这些社会工程师模仿安提瓜岛一家真实公司发出工作邀请,使用足以乱真的假电子邮件地址,甚至模仿一位高管贾斯汀·杨,黑客使用了一位与贾斯汀·杨大致相符的西班牙语演员。当我最近与真正的贾斯汀·杨交谈时,他第一次听说智利袭击事件,以及他身份被窃取的事。

当Redbanc的程序员运行了受感染的程序后,它激活了一个“dropper(一个恶意软件)”,黑客可以远程控制他的电脑。随后,黑客在该公司网络上的其他计算机上进行了一系列行动。他们的目标是破坏微软在Redbanc的活动目录系统,该系统将用户与资源连接起来。

当罗亚注意到入侵时,黑客还没有达到这个目的。下一阶段的操作会在Redbanc控制主机,然后启动FASTCash攻击本身,使用恶意隐瞒欺诈在提款机疯狂提款。

在那次未遂的突袭之后,Redbanc的反应和大多数受到此类威胁的公司一样:保持沉默,同时提高安全性。“快钱”对Redbanc的攻击之所以公之于众,是因为当时的智利参议员费利佩·哈尔博在一次安全专家会议上听说了此事,决定在twitter上发布这条消息。

哈尔博去年秋天告诉我,他打破了Redbanc的沉默,因为南美的机构现在不断受到朝鲜和俄罗斯黑客组织的威胁。哈尔博说,对于他披露了Redbanc的漏洞一事,Redbanc管理层感到“意外和不安”,但他觉得这个问题需要更大的透明度。

智利也发生过其他ATM攻击事件,但勒索软件(黑客控制计算机网络,以恢复系统正常为条件勒索费用)更为常见。许多勒索软件的操作都是像Redbanc一样,依赖于一个薄弱的漏洞。

朝鲜在Redbanc的失败只是一个小小的插曲。黑客们采取的是广撒网的策略。网络安全与基础设施安全局指出,在Redbanc遭受攻击前后,朝鲜参与者成功发起了针对亚洲和非洲数十家银行的“快钱”攻击,窃取了数千万美元。在2017年的一起黑客入侵事件中,30多个国家的ATM机被同时洗劫。

朝鲜黑客最新的目标是加密货币

哈佛大学朝鲜网络威胁研究员森内认为,在过去两年里,朝鲜网络黑客的策略变得更加微妙。除了以大型金融机构为目标外,他们还发展了一种更快、不那么浮华的“操作节奏”。她解释说:“他们设法使金融欺诈、针对小型金融机构和普通公民的攻击成为常态。”

联合国专家小组今年3月发表的一份报告指出,朝鲜网络黑客的一个新途径是窃取军事信息,要么出售,要么用于朝鲜的武器计划。但对朝鲜来说,最可靠的赚钱工具已经变成了盗取加密货币。

调查加密货币相关犯罪的私营公司Chainalysis负责政策计划的杰西·斯皮罗最近告诉我,朝鲜黑客从交易所偷走了至少17.5亿美元的数字货币。仅这一收入来源就可以覆盖朝鲜总国防预算的10%左右。

朝鲜对加密交易所的黑客攻击有一套相对简单的方法。交易比特币和其他类型加密货币的交易所通常持有装满客户数字货币的托管账户。这些存储设备被称为“热钱包”(hot wallets),因为它们与互联网相连。一种更安全但更费力的存储数字货币的方法是在一个离线的“冷钱包”中存储,比如,包含区块链账户密钥的二维码打印件。

来自朝鲜的黑客经常使用与智利那次失败的黑客攻击相同的操作手段,进入交易所的内部系统。貌似真实的人提出貌似真实的诉求,然后说服目标公司的网络用户下载一个病毒文件。通常,加密货币交易所有一两个管理员可以访问热钱包的私钥。如果黑客能影响到一位级别足够高的人物,他们就能打开钱包,偷走里面的货币。

区块链分析公司Elliptic的首席科学家汤姆·罗宾逊,为政府和私人客户跟踪加密货币黑客的收益,他告诉我加密货币交易已经成为朝鲜黑客有吸引力的目标:“一旦资金离开交易所,你就不能像传统的银行支付那样逆转交易。一旦被他们偷走,货币就找不回来了。你不可能找到中间人,或者比特币的控制者,对他们说,‘资金被偷了,把它们还给我。’这是完全去中心化的,它也可以是匿名的,你不需要通过与你的身份相关联的账户来实施该计划。”

罗宾逊说,拉撒路集团使用的最成功的假身份之一是瓦利·达尔维,据说他在密歇根州一家名为塞拉斯(Celas)有限责任公司的加密货币公司工作。达尔维和塞拉斯公司都是拉撒路集团发明的。LinkedIn上与该人物和公司有关的页面仍然活跃着。

在LinkedIn上,达尔维什自称是鹿特丹应用科学大学的毕业生,他的兴趣包括劳斯莱斯汽车。他还声称,“知道如何在加密货币中操作区块链”,虽然有点语法错误,但很逼真。今年2月,美国联邦调查局对三名朝鲜黑客嫌疑人提起的一份起诉书指出,拉撒路集团开发了一个恶意软件程序,声称是加密货币交易,名为Celas Trade Pro。

2018年春天,达尔维吸引了香港一家加密货币交易所的员工下载了受感染的软件。(对这一行动的调查仍在继续,调查人员认为,公开交易所的名字可能会损害正在进行的调查。)

在安装了恶意软件后的几周内,黑客们已经从交易所的热钱包中窃取了大约一万八千个比特币。这些比特币当时价值约9400万美元,现在价值超过5亿美元。

此类突袭之后出现的洗钱模式令人眼花缭乱。区块链分析公司Elliptic追踪了那家香港交易所加密货币被黑的情况。罗宾逊解释说,所有被盗的货币都被转发到一个黑客维护的钱包里,然后分成几十个小金额,通过不同的路径发送到另一个交易所。

这种原子化的资金转移被称为“剥链”(peel chain)。当罗宾逊给我看数字货币分布的图表时,我想起了航空杂志上的一张路线图,上面有几条线同时从一个点发出,然后汇聚到另一个点上。

剥链的设计是为了避开自动警报,它能搜索精确数量的加密货币的过境情况。被盗的货币被寄给了两名男子田银银(音)和李家栋手中(音),这两名男子使用假照片和假名字在其他交易所开设了账户,其中包括在美国的一个交易所。去年,田银银和李家栋在美国被起诉,涉嫌在2017年至2019年期间“对超过1亿美元的被盗加密货币进行洗钱,以掩盖交易,为朝鲜参与者获益”。目前他们仍然在逃。

2019年,联合国列出了数十家被朝鲜黑客入侵的加密货币交易所。首尔的一个交易所Bithumb曾被成功袭击四次,这是安全方面的巨大失败。自从联合国的报告发表以来,袭击的精细程度只会越来越高,犯罪洗钱的技巧也会提高。

据Chainalysis的杰西·斯皮罗称,今年到目前为止已经发生了15起加密货币盗窃案,现在尚不能断定有多少是朝鲜所为。

斯皮罗指出,当局越来越注意此类计划。例如,对剥链的认识已经变得普遍,他说,这种策略“如果你有区块链取证或分析能力,就比较容易追踪”。但是新的混淆技术出现了,专业洗钱者提供诸如CoinJoin等服务,该服务将偷来的和合法的货币混合在一起,以迷惑鉴定部门的分析。

如果把策划孟加拉国劫案所需的人力物力,与数字代币随机的盗窃方式相比较,就会明白为什么朝鲜会更青睐加密货币交易所。

斯皮罗告诉我,私人取证公司和执法机构终于严肃对待这个问题了。了解如何追踪加密货币是一项越来越重要的技能,尤其是因为朝鲜黑客和许多犯罪团伙的成员接受以数字货币支付勒索。根据Chainalysis的数据,从2019年到2020年,勒索软件事件增加了300%以上。

即使其他的洗钱技术越来越为人们所熟悉,被盗的硬币也很容易被标记出来,但杜绝这类盗窃的关键是阻止盗贼兑现现金。斯皮罗称,这在短期内不太可能实现,因为东欧和东南亚的某些交易所的做法较为宽松。

联邦调查局对拉撒路黑客集团的起诉书详细列出了该集团被指控的犯罪行为。一份起诉书指出,这些黑客“试图从娱乐公司、金融机构、加密货币公司、在线赌场、已获批准的国防承包商、能源公用事业公司和个人,盗取或勒索逾13亿美元”。美国联邦调查局最近还逮捕并起诉了一名据称为朝鲜洗钱的加拿大裔美国人。

同样,美国区块链专家维吉尔·格里菲斯于2020年1月在纽约南区被起诉,罪名是违反美国对朝鲜的制裁。格里菲斯曾于2019年前往平壤,在一个加密货币会议上发表演讲。针对格里菲斯的起诉书称,他受到朝鲜的指示,将他的演讲重点放在“加密货币和区块链技术的潜在洗钱和逃避制裁的应用”上。格里菲斯拒不认罪。

公开的起诉对记者和研究人员来说是件好事,但任何朝鲜黑客被成功起诉的机会都微乎其微。然而,美国人越来越认识到网络犯罪带来的威胁。拜登已经为联邦机构筹集了100亿美元用于处理网络犯罪问题。一名政府顾问告诉我,政府正在考虑的一个主要补救措施是建立新的协议,使各机构能够与私人安全公司更密切地合作,私人安全公司通常在网络犯罪取证方面表现得最好。

朝鲜黑客造成的国家安全威胁,没有俄罗斯黑客造成的威胁那么明显,俄罗斯黑客以干预美国大选而臭名昭著。奥巴马政府的网络安全特别顾问迈克尔·丹尼尔现在是网络威胁联盟的首席执行官。该联盟是一个非营利组织,致力于加强网络犯罪威胁的情报共享。

他告诉我,朝鲜给执法机构带来了特别的困难,不仅因为它的黑客活动与情报收集混合在一起合,还因为它的活动现在会干扰其他国家的关键网络,比如医疗保健业务。丹尼尔说:“当你在疫情期间收到勒索软件袭击医疗系统时,那就不再只是金钱上的威胁了。”

朝鲜的黑客也许也是受害者

朝鲜的网络黑客往往看起来并不像不露面、不道德的罪犯。他们看起来也像受害者。牛津大学程序员安德烈·昂塞斯库,一想到才华横溢的年轻朝鲜人才被浪费在黑进银行和安装勒索软件的计划上, 他就感到遗憾。

但是从这些案件中去了解人们的故事是不可能的。前特种部队上校戴维·麦克斯韦尔告诉我,从侦察总局网络部门逃出来的少数几个人一般都是移民到了韩国,在那里他们立即受到了该国情报部门的监督。然而,偶尔也能一瞥金正恩强加给“勇士们”的道路。

李钟烨(音)是一位数学天才。1998年,他出生于平壤郊外的一个学术家庭。他7岁上小学一年级时,每天都在私人老师的指导下学习,并且已经掌握了整个小学教学大纲。

在中学时,他参加并赢得了全国数学竞赛,他被选送入一所天才儿童高中。在哥伦比亚圣玛尔塔举办的2013年国际数学奥林匹克竞赛中,15岁的他是朝鲜代表队中最年轻的成员。

李钟烨是一个高大、合群、英俊的男孩,喜欢打排球和乒乓球。和他在国际数学奥林匹克竞赛中的队友不同,他喜欢和来自各个国家的孩子们打交道。他看到外国青少年在业余时间上网,想知道自己是否可以试一试。

他从未上过网,他在乡村学校看到的为数不多的电脑终端,没有连接到互联网,他甚至从来没有看到机器打开过,因为学校很少有电。最后,李钟烨没有屈服于诱惑。他知道如果被抓住,他将受到严厉的惩罚。

李钟烨在他的第一次奥林匹克竞赛中获得了一枚银牌,对于这样一个年轻的选手来说,这是一个了不起的成绩。在2014年和2015年,他再次入选团队,先后前往南非开普敦和泰国清迈。他在两个项目上都获得了银牌。李钟烨还记得,看到其他选手年复一年地回来,他是多么高兴。他还与韩国的团队成员建立了友谊,因为他们语言相同。他们本应是他的敌人,但李钟烨觉得与他们交谈并无大碍。

他从2015年的奥林匹克竞赛回来后,一位在当地劳动党办公室工作的熟人告诉他,一个秘密政府机构的高级官员正在访问李钟烨的朋友和亲戚。他立刻就知道接下来会发生什么:政府会利用他在数字方面的才能,给他一份黑客或核项目工作。

显然,政府已经决定,在他开始秘密劳动的职业生涯之前,他不需要上大学。他对未来充满了恐惧,在军队里戒备最森严的部门工作意味着他将与世隔绝,他将没有任何自由。他也意识到,如果他被指示加入这样一个机构,他没有拒绝的权力。

李钟烨知道,18岁以前他都可以参加国际奥林匹克竞赛,这意味着他可以在被录取之前再参加一次比赛:在香港科技大学举行的一项活动。朝鲜的参赛选手在比赛中没有受到严格的监督,李钟烨与陪同队伍的老师关系很好。在获得另一枚银牌后,李勇浩抓住了机会。他走出宿舍,叫了一辆出租车去机场,在一位友好的航空公司工作人员的帮助下,他找到了韩国领事馆的地址。他又坐了一辆出租车去那里,并告诉一名韩国外交官,他希望叛逃。

随后,他在香港待了70天,紧张地等待韩国代表团就他的安全抵达首尔进行谈判。李钟烨叛逃后,朝鲜暂停了国际奥林匹克竞赛两年,现在派了一名政府特工与参赛队员在一起,以确保没人能逃脱。

李钟烨现在23岁,有一个韩国名字。他在首尔国立大学学习数学。他自从叛逃后就没见过他的父母。在最近的一次谈话中,他告诉我,他在没有任何外界帮助的情况下制定了逃跑计划,但他这么说可能是为了保护他的亲人。

在朝鲜,叛逃者的家人常常遭遇严酷的命运。李钟烨说,他不后悔离开自己的祖国。自他逃离平壤以来,他一直在考虑,如果留在平壤,他的才华就会被浪费。在首尔,他看到了更多的可能。他兴奋地告诉我,他希望通过交换生项目在美国待上一年。

李钟烨2016年抵达韩国后做的第一件事就是上网。在一位导师的帮助下,他建立了一个Gmail账户。导师鼓励他进行第一次谷歌搜索。他一时不知所措。在信息受到严格控制的朝鲜,李钟烨的好奇心一直无法满足。但现在,世界似乎就在他的指尖,他有点不知所措,有太多东西要学习了。李钟烨打开搜索框,输入“북한/北韓”,即朝鲜。

推荐阅读