EdCasar在《纽约客》上发表文章,详细描述了朝鲜通过黑客技术谋财的行为,一个如此闭塞的国家却拥有强大而缜密的黑客技术,各国都感到震惊和头疼,这些高技术的背后,是一群高智商的数学天才,他们有的曾在奥林匹克竞赛上大放异彩。加美编译,不代表本站立场。略有删节,全文请见原文链接。

日本黑帮成了朝鲜盗窃“快钱”的工具下村是日本最大的黑帮家族——山口组的成员,当他的一位上级问他是否想要一夜暴富时,他很爽快地答应了。那是年5月14日,下村当时住在名古屋。他三十二岁,瘦削身材,一双炯炯有神的眼睛,他很注重仪表,常常穿着西装,脚上踩着一双擦得锃亮的皮鞋。他对自己的外表很是满意,但他在公司里不过是个收收债,打打杂的小角色。上级向他承诺,这个计划的风险很低,并指示他当天晚上在名古屋的一家酒吧参加一个会议。下村现在已经离开山口组,他要求只透露自己的姓氏。当下村出现时,他看见了另外三个黑帮成员,都是他不认识的。和许多日本黑帮成员一样,他有韩国血统,另外两人也是韩裔日本人,他们用韩语交谈了一会儿。上家终于来了,五个人进了一个包间。每个参与者都拿到了一张纯白色的信用卡。卡上没有芯片,没有号码,也没有名字,只有一条磁条。上家从一本薄薄的手册上读出了指示:第二天一早,也就是周日,他们要去任何一家7-11便利店,在店内的自动取款机上使用他们的白卡。他们不能使用普通银行取款机,也不能使用其他便利店的取款机。犯罪分子每人一次必须取10万日元(约合美元),在每台机器上的交易次数不能超过19笔。如果有人在一台自动取款机上取款20次,他的银行卡就会被冻结。取款时间是早上5点到8点间。他们被要求在交易提示中选择日语,下村意识到这表明这张卡是外国的。在取了19次款之后,他们要等上一个小时,然后再去另一家7-11便利店。他们可以保留10%的现金,其余的归老板所有。最后,上家给每个参与者一个密码。星期天早上,下村起得很早,他穿着牛仔裤、太阳镜、棒球帽和一件旧T恤。他走到一家7-11便利店,在那里买了一个饭团和一杯可乐,让自己冷静下来。当取款机屏幕问他选择哪一种语言时,他在选择日语时有些颤抖。他取了10万日元,一次接一次。店里除了那个收银员,没有别的人,那个收银员对他也不感兴趣。第一次取款后,下村打印了一张收据,他在纸上看到一个外国名字,他不知道是哪个国家的名字,但他肯定那不是日本人的名字,然后他把收据塞进了口袋。上午8点左右,他在该地区的几家ATM机上一共取了8笔钱,然后跌跌撞撞地回家了,他的口袋鼓鼓的,80万日元可是一大笔钱。下村拿了他的百分之十,大约是三千五百美元,把它藏在他公寓的抽屉里。下午点,他见了上家,把剩下的钱交给了他。后来,他发现另一个黑帮成员带着钱和卡潜逃了。这位上家告诉下村,他将保留现金的5%,其余的钱交给他的老板。当下村把钱交上来时,他感觉到上级已经征募了许多人。他是对的。正如报纸很快报道的那样,当天上午,日本各地大约家7–11便利店的ATM机上被取走了超过万美元,使用的数据是从南非标准银行窃取的。报纸推测,7-11之所以成为攻击目标,是因为它们是日本唯一一家现金终端全部接受外国卡的便利店。在犯罪行动后不久,日本许多ATM机的取款限额被降至5万日元。下村推断,在这场骗局中,他处于利益链的最底层。真正的赚钱者在更高的地方。他不知道的是什么人,直到去年接受本杂志的采访时,他才知道在利益链顶端者的身份。据日本警方称,在提款机盗款案后不久,7-11行动的主谋进入了朝鲜。下村在不知不觉中为朝鲜人民军筹钱,这是一种后来被称为“快钱”(FASTCash)诈骗行动的一部分。朝鲜通过网络已经攫取了20亿美元在东亚夜间的卫星图像中,几乎所有的地方都灯光闪烁,除了黄海和日本海之间,也就是北纬8度到4度之间的那片区域一片漆黑.那便是朝鲜,这个国家只有首都平壤散发出明显的现代化气息。这个国家边界被关闭,人民被隔离。外国人很难了解朝鲜国内发生的事情,普通朝鲜公民想了解外部世界就更困难了,只有1%的朝鲜人可以上网。然而,与此矛盾的是,朝鲜政府培养出了一批世界上最老练的黑客。乍一看,这种情况是反常的,甚至是滑稽的,就跟牙买加赢得了奥运会雪橇比赛的金牌一样,但来自朝鲜的网络威胁是真实的,而且还在不断增长。与包括美国在内的许多国家一样,朝鲜为军队配备了攻击性和情报收集的网络武器。例如,年,来自平壤的军事程序员窃取了超过GB的韩国军队的数据,其中包括一份名为“行动计划”的文件。这份文件详细分析了与朝韩战争会如何继续下去,特别提到了通过刺杀金正恩“斩首”朝鲜的阴谋。这一泄漏事件及其严重,以至于首尔智库NationalUnification研究所的前所长金泰宇告诉《金融时报》:“我希望是韩国军方是故意泄露了机密文件给朝鲜,目的是为了制定第二个战略。”此外,朝鲜是世界上唯一一个政府,为了金钱利益而进行黑客的国家。该国军事情报部门的一个单位,叫做侦查总局(thRconnaissancGnralBurau),专门训练黑客。年,金正恩把在“勇敢的侦查总局”工作的人形容为“为了建设一个富强国家而战的英雄”。朝鲜的网络计划是多线进行的,其策略包括抢劫银行、部署勒索软件和从在线交易所窃取加密货币。很难量化平壤黑客的成功程度。与恐怖组织不同的是,朝鲜不会承认发动了攻击,政府也会反射性地予以否认。因此,即使是经验丰富的专家有时也会在判断个别袭击是否是朝鲜所为时产生分歧。然而,9年,联合国制裁朝鲜问题专家小组发布了一份报告,估计朝鲜通过网络黑客筹集了20亿美元。自该报告撰写以来,有大量证据表明,朝鲜网络威胁的速度和独创性都在与时俱进。据联合国称,朝鲜黑客窃取的资金很多都用于朝鲜人民军的武器计划,包括其核导弹的开发。网络黑客是该国长期以来规避制裁的一种廉价而有效的方式。从20世纪90年代初开始,朝鲜领导人就已经注意到了互联网世界带来的机会。首尔高丽大学的学者们在9年撰写的一篇关于朝鲜政权的论文中指出,金正日在观看了美国在两次海湾战争中的军事行动后,得出的结论是“现代战争就是电子战争”。5年,一本朝鲜人民军的书籍援引金正日的话说:“如果互联网像一把枪,那么网络攻击就像原子弹。”他的儿子金正恩于2年上台,看到了这项技术的商业潜力,指出他的军队可以“穿透任何制裁”。他很快宣布,网络威力是“一把万能的剑,与核武器和导弹一起,保证了朝鲜人民武装部队无情的打击能力。”然而,朝鲜在4年至7年实施了三项重大攻击后,西方才真正意识到朝鲜网络力量带来的危险。三次重大攻击第一次是索尼电影公司被黑客攻击。4年6月,索尼发布了电影《刺杀金正恩》(ThIntrviw)的预告片,这是一部塞思·罗根和詹姆斯·弗兰科主演的喜剧,讲述的是被美国中央情报局招募去暗杀金正恩的倒霉记者的故事。朝鲜的一位发言人称这部电影是“肆无忌惮的恐怖行为”,并威胁如果制片厂继续发行这部电影,将会做出“无情的回应”。但索尼继续发行该影片。(罗根在推特上开玩笑说,“人们通常不会因为我的一部电影而杀了我,除非他们为这部电影付了12美元。”)那年11月,索尼员工报告称,他们的电脑遭到了一个自称“和平卫士”组织的入侵。在该公司的许多电脑被入侵后,索尼关闭了其余的电脑,以阻止数据泄露。有几天,索尼影业在没有网络的情况下运营。而在随后的几周里,黑客们泄露了关于公司及其员工令人尴尬的,在某些情况下是破坏性的电子邮件、工资、医疗记录、电影和剧本。五部即将上映的索尼电影和下一部詹姆斯·邦德电影《:幽灵党》的剧本都被放到了网上。该工作室的负责人之一艾米·帕斯卡在黑客发布电子邮件后辞职。在邮件中,她与制片人斯科特·鲁丁开玩笑说,自己在与奥巴马的一次会议上,很聪明的提到的有关奴隶制的点子。联邦调查局很快将这次袭击归咎于朝鲜,平壤方面否认与此有关,但宣称这次黑客攻击是“正义的行为”。奥巴马承诺对他称之为“网络破坏”的行为做出“适当的回应”。美国众议院国土安全委员会主席迈克尔·麦考尔后来告诉记者,针对索尼遭黑客攻击,美国已经发起了一系列“网络回应”,不仅仅是4年12月朝鲜发生的10小时网络中断事件。如果说索尼遭受的攻击带有卡通化的色彩,那么朝鲜发动的第二次大规模攻击就像是一场劫难。大约在黑客侵入索尼公司网络的时候,该团伙的成员,后来被称为拉撒路集团(Lazarusgroup),开始探查孟加拉国首都达卡市的银行。与拉撒路集团有关的账户,向孟加拉国银行和达卡的其他金融机构发送了一系列电子邮件。这些邮件包含一个指向恶意软件的链接,如果点击该链接,朝鲜就可以进入银行内部计算机系统。5年的头两个月,至少有三名孟加拉国银行员工,在这些“网络钓鱼”电子邮件的诱骗下载了病毒附件。到那年月,黑客已经在银行的电子通信系统中建立了一个“后门”,允许他们模仿银行加密通信协议的方式互通信息,且不会向安全部门通报他们的存在。这些隐藏的黑客随后花了十多个月的时间从内部了解孟加拉国银行的运作情况。和发展中国家的许多国家银行一样,孟加拉国银行在纽约的联邦储备银行有一个外汇账户。年2月4日,美联储收到孟加拉国银行的指令,要求其向多个账户支付数十笔款项,总额近10亿美元,其中一个账户位于斯里兰卡,另外四个账户位于菲律宾。这些请求是通过位于布鲁塞尔附近的环球银行金融电信协会(swift)网络发出的。事实上,拉撒路的黑客使用在孟加拉国银行网络里偷来的用户名和密码,发送了这些请求。在他们发给美联储的欺诈性信息中,拉撒路成员加上了许多真实的、之前执行过的swift转账细节,这样就不会明显看出他们自己的请求是伪造的。为了进一步掩盖他们的踪迹,黑客们安装了一个网络更新程序,阻止孟加拉国银行读取swift信息——这个花招后来给安全专家留下了深刻印象,这就相当于在破坏了银行的监控摄像头后闯进了银行的金库。哈佛大学贝尔弗科学与国际事务中心研究朝鲜网络威胁的研究员普里西拉·森内,在国家安全局工作了12年。她告诉我针对孟加拉国的行动很“华丽”。同时她指出,黑客们不仅表现出技术上的技巧,他们在达卡劫案中的耐心工作,“标志着更成熟的战术和操作”。美联储批准了前五次付款请求,总额为1.01亿美元。接下来的0笔共计8.5亿美元的付款,很幸运地被延迟了,一个自动警报系统在检测到汇款请求的文本中,出现了“Jupitr”这个词后被启动,而这个词恰好是菲律宾银行分行的地址。这一警告之所以被触发,是因为一家与此事毫无关联的企业——雅典的Jupitr海运公司,因其与伊朗有关的活动而被列入了规避制裁的观察名单。在发现这一情况和另一些小的违规行为后,美联储对收款人账户提出了冻结请求。但正如黑客们所预料的那样,由于抢劫发生在菲律宾的一个假日周末,冻结请求在48小时后才得到处理。到那时,大约有万美元已经被转到了另一个账户。这些钱大部分都被取出来,兑换成菲律宾比索现金,然后换成赌场筹码。当时,菲律宾的赌博机构不受反洗钱规定的约束。虽然不是十亿美元,但也是一笔巨款。到朝鲜发动第三次大规模攻击时,没有人再觉得朝鲜政府的网络威胁有什么好笑的了。7年,一种名为“Wannacry2.0”的勒索软件破坏了美国、欧洲和亚洲的网络,包括波音公司、英国国民医疗服务体系和德国联邦铁路的计算机系统。黑客们对一台又一台电脑进行加密,然后要求支付比特币支付才能解冻系统。朝鲜定制了一些勒索软件代码,然后将其从一个设备传播到另一个设备,方法是使用一种危险的美国代码,名为“永恒之蓝”(EtrnalBlu)。一个自称“影子经纪人”的组织从美国国家安全局窃取了这段代码,然后发布到了网上。一位来自英国的22岁黑客和恶意软件专家马库斯·哈钦斯,曾在他父母家的一间卧室里工作,他分析了Wannacry代码,并想出了如何将其产生的大部分流量导入一个“天坑”,“天坑”是一个恶意软件无法造成伤害的网址。据《连线》报道,哈钦斯意识到自己已经颠覆了黑客行为后,就上楼告诉了家人。他当护士的母亲当时正在切洋葱。她说:“做得好,宝贝”,然后继续做饭。

过去是香烟、假币、冰毒,现在是互联网

战略与国际研究中心高级研究员小约瑟夫·贝穆德斯解释说,在 之前,走私者和军阀就在该地区兴盛起来。自朝鲜民主主义人民共和国诞生以来,走私不仅被用来为政权获取现金,还被用来获取政治和社会资本。贝穆德斯说,金氏父子培养了一种“只有创造收入才能与领导人愉快相处的氛围”。直到最近,朝鲜最赚钱的由国家支持的活动包括香烟走私、制造假币、濒危物种交易,以及制造和分销冰毒等实验室制造的非法毒品。在70年代,被派往国外的朝鲜外交官经常走私毒品。上世纪80年代,朝鲜造假者制造了一种非常逼真的百元“超级钞票”。6年,美国特勤局估计,他们已经从市面上清除了价值万美元的假钞,七年后,美国财政部重新设计了百元美钞,增加了防伪特征。许多传统的犯罪收入流持续流向平壤,在过去10年里,朝鲜的重点转向了互联网。朝鲜黑客狂潮的范围和创造性让许多人猝不及防。这不仅是因为平壤的网络战士可以破坏世界各地的计算机网络,他们还在开发新技术方面表现出了真正的创新。为企业提供互联网安全问题咨询的律师卢克·登博斯基,第一次面对朝鲜的网络威胁是在索尼遭遇黑客攻击时,当时他是司法部国家安全部门的司法部长助理。后来,他目睹了孟加拉国的抢劫事件——这在复杂度上是一个惊人的飞跃。他说:“对于像我这样的人来说,尽管在这一行已经很多年了,看到一个相对孤立的国家不只是简单地复制别人的方法或方案,而是真正地开辟了新的领域,这真的令人震惊。”哈佛大学的分析师普莉希拉·森内告诉我,现在回想起来,朝鲜转向网络是一种非常自然的发展。她说:“朝鲜人了解犯罪行为,他们在很多很多地方都融入了犯罪灰色的地下世界。所以很自然地覆盖了这个新领域——互联网。它将犯罪组织和走私者联系在一起。”我们讨论了年的日本ATM骗局。下村可能不认识他的终极上家,但日本黑帮几十年来一直在从朝鲜走私非法产品。在世纪之交,朝鲜供应了日本约40%的冰毒。因此,如果平壤的网络骗子需要日本人员到名古屋取钱,他们向黑帮可以提出请求,并很快就会得到回应。哈佛大学的分析师森内还指出,尽管朝鲜黑客在技术上很娴熟,但他们更重要的特点是一种缜密的计划。在孟加拉国银行一案中,黑客在达卡进行了第一次侦察后,等待了17个月才完成行动。他们已决定在周末和假日实施行动;他们计划好了如何迅速将现金从接收银行转移出去;他们选择了那些对客户信息了解特别宽松的机构,一旦他们实施了盗窃,他们就利用菲律宾当地的承包商来洗钱,有效地隐藏了资金踪迹。他们成功的前提不仅仅是了解计算机的工作,还知道人们如何工作。森内告诉我:“他们很聪明,这种虚拟世界和现实世界的连接让人印象深刻。”在朝鲜,IT达人是国家精心培养的黑客在大多数国家,黑客们在青少年时期在家通过电脑实验来发展他们的技能。瓦解Wannacry的马库斯·哈钦斯就是这样一位民间高手。但朝鲜在网络黑客领域的人才,是在温室里精心培养出来的。很少有家庭拥有电脑,国家对互联网的使用进行严格把关。朝鲜黑客挑选和训练的过程,似乎与前苏联阵营培养奥运选手的方式类似。研究朝鲜问题的史汀生中心研究员马丁·威廉姆斯解释说,常规战争需要昂贵而繁重的武器开发,而黑客程序只需要聪明人。朝鲜虽然缺乏许多其他资源,但“并不缺乏人力资本”。鼓励最有前途的学生在学校使用电脑,那些擅长数学的人被安排进入特殊高中学习。最好的学生可以出国,参加国际数学奥林匹克竞赛等项目。许多菲尔兹奖(著名的数学奖)的获得者在青少年时期就在竞赛中取得了很高的名次。来自朝鲜的学生在国际数学奥林匹克竞赛中的表现,往往令人印象深刻,朝鲜也是唯一一个因涉嫌作弊而被取消参赛资格的国家:朝鲜代表队曾在年和0年两次被逐出比赛。在9年在英国巴斯举行的国际学生比赛中,朝鲜选手坤松阳(音)在六项挑战的前五项中取得了完美的成绩,与来自中国、韩国、波兰和美国的学生并列第一,直到最后一题,他得了一个很低的分数。平壤的两所大学,金策工业综合大学和金日成大学,从数学和计算机专业高中选拔出最有才华的青少年,然后教他们高级代码。这些学校在国际大学程序设计竞赛(出类拔萃的书呆子们的狂欢)中常常胜过美国和中国的大学。在9年在葡萄牙波尔图举行的国际大学生程序设计竞赛(ICPC)决赛中,金泽大学排名第八,排在牛津、剑桥、哈佛和斯坦福之前。安德烈·昂塞斯库代表牛津大学参加了9年国际计算机编程大赛,他从10岁起就在家乡罗马尼亚参加编程比赛。他告诉我,国际计算机编程大会不仅有趣、适合交际,而且还是大型科技公司的招聘场所。安德烈说,参赛选手们后来都成了杰出的程序员。他提到了尼古拉·杜罗夫,他是0年和1年圣彼得堡州立大学队的冠军队员,后来共同创立了俄罗斯社交媒体应用程序VK和Tlgram。安德烈补充说,在波尔图,朝鲜选手和其他选手住在同一家酒店。但他从未见过他们与其他国家的学生交往。他说,虽然比赛测试的是编程的流畅性,但真正测试的是解决问题的能力。这往往归结为纯粹的数学。安德烈说,为了取得好成绩,每个团队都需要至少一个“非常擅长数学”的人。学生们以三人为一组,被要求编写代码来解决一个抽象的谜题,但每次只有一个团队成员编写代码。9年ICPC的编码挑战极其困难。举个例子:“你们学校的棋盘游戏俱乐部刚刚举办了一场跳棋比赛,要求你对比赛进行记录。不幸的是,在回家的路上,你把所有的文件都掉到水坑里了!灾难啊!你写的很多东西现在都没法读了,你剩下的就是各种游戏中间的走法列表。你是否有办法重现这些游戏中发生的事情?”学生们编写的代码需要在一秒钟内解决这个问题。安德烈说,要赢得比赛,你必须快速、协作和创造性地工作。他告诉我:“最难的不是编程,而是思路”。他补充说,这类比赛的参赛者很可能就是“下一代”的顶级程序员和研究人员。不难想象这样的比赛也会发展黑客犯罪的技能,因为“一旦你发现了一个系统运行方式的奇怪之处,那么它就会变成一个试图利用它的数学问题。”在这类活动中展示的编码和分析技能就像《星球大战》电影中的原力:它既可以用于光明面,也可以用于黑暗面。朝鲜黑客们驻扎在世界各地,但核心骨干必须在平壤据许多人估计,大约有名朝鲜人在朝鲜的网络项目中工作。人员被分成军队的参谋部和侦查总局,后者类似于美国的国家情报总局。9年韩国大学论文分析了黑客在这些部门中的分工,总参谋部的下属机构中,有一个部门的名字让人不寒而栗,叫“瓦解敌人机构”,负责“信息战和心理战”。大部分的工作是由侦查总局进行的。高丽大学的研究人员称,侦查总局的一个名为“单位”的部门负责“开展网络行动,从朝鲜境外窃取外国资金”。拉撒路集团是朝鲜最知名的商业黑客组织,但这个组织可能包括:在西方执法和情报机构中被称为BaglBoyz、hiddncobra和apt8(apt代表“高级持续性威胁”)。似乎没有人确切知道每个小组有多少人工作,哪个小组赚的钱最多。另一个令人好奇的问题是,从地理位置上讲,朝鲜黑客是在哪里工作的。森内是哈佛大学的研究员,多年来一直在追踪朝鲜互联网用户的元数据。7年至年期间,她研究了朝鲜在网上的微小足迹。在任何时候,这个国家可能只有几百个IP地址在使用。根据这些线索,她得出结论,这个国家的大多数程序员都在朝鲜以外的地方工作。森内说,当然,朝鲜的大多数新IT毕业生似乎都在外国待过一段时间,在那里他们学习了宝贵的“现实世界”技能。这些外国单位实质上既是利润来源,又是训练基地。最近,一名美国分析家向我展示了一个小组的数字足迹,他确定,那是在中国边境城市丹东工作的朝鲜人。该小组的工作似乎不痛不痒——没有证据表明它参与了恶意黑客行为。该组织通过电子邮件地址bravmastr

hotmail.


转载请注明地址:http://www.keboencheng.com/kbecyy/9074.html