朝鲜网络攻击：一种危险且不断演变的威胁（英）

特别报道N哦.第247话2021 年 9 月 2 日朝鲜网络攻击：一种危险且不断演变的威胁布鲁斯·克林纳 朝鲜网络攻击：一种危险且不断演变的威胁布鲁斯·克林纳特别报道第 247 号 | 2021 年 9 月 2 日亚洲研究中心 二朝鲜网络攻击：一种危险且不断演变的威胁关于作者布鲁斯·克林纳是传统基金会凯瑟琳和谢尔比卡洛姆戴维斯国家安全与外交政策研究所亚洲研究中心东北亚高级研究员。这篇论文的全文可以在传统基金会 | 214 马萨诸塞大道, NE |华盛顿特区 20002 | (202) 546-4400 |遗产网此处所写的任何内容均不得被解释为必然反映传统基金会的观点，或试图帮助或阻碍国会通过任何法案。 N特别报道| 247号遗产网2021 年 9 月 2 日 |1朝鲜网络攻击：一种危险且不断演变的威胁布鲁斯·克林纳朝鲜进行了网络游击战以窃取机密军事机密，携带数十亿美元的金钱和网络货币潜逃，将计算机系统扣为人质，并造成对计算机网络的广泛破坏。防御平壤的网络攻击需要执法机构在应对其逃避制裁时必须使用的相同的持续警惕和快速发展的方法和技术。美国仅对朝鲜黑客和外国采取了有限的行动，允许他们从网络犯罪中操作和洗钱。如果没有美国的坚定回应，朝鲜政权将继续削弱国际制裁的有效性，并可能在危机或军事冲突中造成更大的破坏。朝鲜的导弹和核武器引起了恐惧、国际谴责和严厉制裁。然而，尽管平壤的网络活动多次被用于针对政府、金融机构和行业的攻击，但引起的反应和惩罚较少。专家们对朝鲜网络能力的态度最初是不屑一顾的，就像他们对该政权的核计划和导弹计划的反应一样。1许多人指着东北亚著名的夜间卫星图像，其中一个黑暗的朝鲜被邻国的炽热灯光包围，不相信技术落后的政权有能力进行复杂的网络攻击。尽管如此，尽管该政权未能为其民众提供技术上的便利，但平壤发展了很少国家能超越的先进网络战能力。从最初的基本分布 2朝鲜网络攻击：一种危险且不断演变的威胁在针对韩国的拒绝服务 (DDoS) 攻击之后，该政权改进了其网络计划，以创建强大的全球性破坏性军事、金融和间谍能力。随着其网络能力的发展，平壤实施了越来越复杂的技术，并优先考虑金融目标，以逃避国际制裁并增加其核计划和导弹计划的金库。尽管近年来它似乎不再强调针对军事和基础设施目标的网络行动，但该政权之前曾暗示在危机期间攻击盟军以信息为中心的战争战略和民用网络。朝鲜展示的网络能力的范围和其他近期网络攻击的严重性，例如俄罗斯赞助的 Solar-Winds 黑客攻击、中国对 Microsoft Exchange 漏洞的利用以及 DarkSide 恶意软件关闭了 Colonial Pipeline，表明政府、金融、基础设施和企业部门。美国需要与外国政府和私营部门一起加强网络防御并对攻击做出更有力的反应。否则，朝鲜将继续削弱国际制裁的有效性，并使美国及其合作伙伴在未来面临潜在的破坏性网络攻击。网络：朝鲜战略的关键组成部分平壤开发了一套全面而复杂的网络攻击工具和方法。 2017 年，美国高级情报官员评估称，朝鲜是能够对美国发动“破坏性或破坏性网络攻击”的四大网络威胁之一。2中央情报局局长在 2019 年 1 月警告说，朝鲜“对金融机构构成重大网络威胁，仍然是网络间谍威胁，并保留进行破坏性网络攻击的能力。”3朝鲜的网络武器和战术与该政权的不对称军事战略一致。由于朝鲜的常规军事力量与美国和韩国相比有所下降，平壤开发了新武器以应对日益扩大的能力差距，包括核武器、导弹和远程火炮。在研究了美国在伊拉克的军事行动后，朝鲜领导人金正日得出结论，盟军高科技战争容易受到网络攻击，“在 21 世纪，战争将 [作为] 特别报道| 247号遗产网2021 年 9 月 2 日 |3战争。”4 金认为“网络攻击就像原子弹”，“[w]ar 的胜利和失败取决于谁在和平时期更能接触到对手的军事技术信息。”5朝鲜战略家将网络空间视为其军事战略的一个组成部分，将其与地面、空中、海上和太空一起列为“第五大战场”。6到 2009 年，金宣布朝鲜“已为任何形式的高科技战争做好充分准备”。7 韩国国防部警告称，朝鲜能够破坏全球定位系统（GPS）网络，并正在开发干扰高科技导弹和精确制导炸弹的手段。8金正日发起了朝鲜对网络战的尝试，但正是在金正恩统治期间，平壤加速并扩大了对更广泛目标的网络攻击。据信，自 2010 年以来，朝鲜在仁川机场上空干扰了飞机的 GPS 系统；停止在美国上映一部重要电影；入侵韩国银行、报纸和核电站；并欺骗银行和网络货币交易所以赚取数十亿美元。“凭借密集的信息和通信技术，以及勇敢的侦察总局（RGB）及其[网络]战士，”金在 2013 年宣称，“我们可以穿透任何制裁，以建设一个强大而繁荣的国家。”9 值得注意的是，即便如此，Kim 还是强调了网络行动中逃避金融制裁的方面。金正恩称网络战是“法宝”10以及“保证朝鲜人民武装力量无情打击能力的万能剑，以及核武器和导弹”。11 在危机前夕或作为动能打击的替代方案，该政权可以对控制通信、财务和基础设施（如发电厂和电网）的政府和民用计算机网络进行网络攻击。网络犯罪：旧策略的新方法朝鲜的网络行动不仅与其不对称的军事战略相一致，而且与该政权利用犯罪活动获取资金的悠久历史相一致。早期的犯罪活动包括伪造货币、药品和香烟；非法药物的生产和贩运，包括鸦片和甲基苯丙胺；贩运濒危物种产品；和保险欺诈。 4朝鲜网络攻击：一种危险且不断演变的威胁网络犯罪使朝鲜政权能够以比过去的非法活动和最近的走私和船对船石油转移更有效、更具成本效益和更有利可图的方式获得货币并逃避国际制裁。该政权的网络犯罪范围遍及全球，提供了天文数字的投资回报，并且风险低，因为它们很难被发现和归因，几乎没有国际报复的可能性。很少有联合国 (U.N.) 或美国对朝鲜网络组织实施的制裁或采取的法律行动。网络犯罪对政权尤其有利，因为它面临国际制裁的累积影响、自我施加的 COVID 限制对合法和非法外贸的影响、农业中心地带的自然灾害和数十年破坏性的社会主义经济政策的影响.网络犯罪使传统犯罪黯然失色。随着国际社会打击朝鲜的各种犯罪活动，陷入困境的政权转向了新的赚钱方式。与以前更传统的“实体”活动（如假冒和走私）相比，网络行动现在是朝鲜犯罪活动的更大组成部分。用美国司法部国家安全司司长约翰·德默斯 (John Demers) 的话来说，朝鲜的黑客“已成为世界头号银行劫匪”。 “简单地说，该政权已成为一个举着旗帜的犯罪集团，利用其国家资源窃取数亿美元。”12与任何犯罪活动一样，很难评估朝鲜从其网络犯罪活动中获得了多少收益。政府、金融机构和执法机构可能不知道某些网络犯罪或无法最终确定犯罪者。即使网络犯罪成功，朝鲜黑客也可能无法将所有加密货币转换为现金，一些受害金融机构能够收回部分或全部丢失的货币。2019 年 8 月，联合国专家小组估计，朝鲜从网络犯罪中累计获利 20 亿美元。13相比之下，2019 年，朝鲜合法进口了 27 亿美元的各类民用商品，其中大部分来自中国，14其年度国内生产总值 (GDP) 为 290 亿美元。15一家韩国组织估计，朝鲜网络犯罪年收入为 8.6 亿美元，16 但其他人估计，平壤每年可能从网络抢劫中获得 10 亿美元——相当于该国出口价值的三分之一。172017-2018 年期间，估计朝鲜 特别报道| 247号遗产网2021 年 9 月 2 日 |5占全球所有网络犯罪的 65%。18据评估，一个政权黑客单位 Lazarus Group 获得了价值超过 17.5 亿美元的加密货币。192018 年 9 月，大陪审团以 2015 年至 2018 年期间在亚洲、非洲、北美和南美的网络抢劫和勒索未遂罪对朝鲜网络特工朴镇赫提出起诉。202020 年，美国司法部宣布，朝鲜对虚拟货币交易所的黑客攻击和相关洗钱“对全球金融体系的安全和完整性构成了严重威胁”。21朝鲜网络机构平壤拥有大量进行恶意网络操作的政府组织和附属黑客组织。22 组织似乎有特定的使命，尽管随着时间的推移，使命似乎也有重叠或变化。隐蔽网络团体的阴暗性质，以及零散和相互矛盾的信息，使得明确的理解变得困难。负责网络行动的主要政府组织是侦察总局和总参谋部。两者都隶属于国务委员会，23 由金正恩担任主席，下属单位众多。其他政府单位包括国家安全部和国防委员会。除了政府机构之外，许多附属的朝鲜黑客组织正在对政府、金融、基础设施和其他部门进行攻击。这些组包括：●安达利尔；●BeagleBoyz;●布鲁诺洛夫；●千里马团体；●黑暗旅馆；●第 123 组； 6朝鲜网络攻击：一种危险且不断演变的威胁●Kimsuky 集团；●拉撒路（也称为 APT38）；24●收割者（也称为 APT37 和铊）；和●星际争霸。美国政府将朝鲜政府的恶意网络活动统称为“藏龙”。朝鲜的非法网络行动网络行动提供了新的方法和工具，平壤可以用来实现其长期的间谍活动、破坏性和破坏性行动、勒索和恐怖主义、非法赚钱活动和逃避制裁的目标。朝鲜黑客已渗透计算机网络以：●从国防、军事技术、情报、金融、核和制药目标收集情报并窃取秘密；●通过 DDoS 攻击破坏、破坏和破坏计算机系统；●部署勒索软件对数据或文件进行加密，以将计算机系统作为人质，直到勒索付款或其他要求得到满足，有时与暴力物理攻击相结合，以及运行网络保护球拍，朝鲜网络组织将借此避免攻击实体作为回报付款;●报复该政权的反对者或贬低朝鲜领导人的人；和●通过网络攻击银行、金融机构、加密货币交易所和 SWIFT（环球银行间金融电信协会）网络，非法获取和洗钱以逃避制裁并为现金短缺的政权筹集资金。25 特别报道| 247号遗产网2021 年 9 月 2 日 |7战术、技术和程序朝鲜黑客擅长开发复杂的网络编码，甚至可以访问受到良好保护的政府、军队和金融计算机网络。他们还善于通过社会工程方法利用人类的弱点来诱骗受害者上传危害网络安全的恶意软件。黑客寻求访问的方式与情报机构招募人力资产的方式大致相同。像情报机构一样，他们确定将实现政府指导目标的信息和组织，进行侦察以识别可以提供访问该信息的个人，评估漏洞和利用它们的手段，并确定他们可以使用哪些方法用于提取数据。朝鲜经常通过鱼叉式网络钓鱼电子邮件发送恶意软件，目标对象是可以直接或三级访问目标网络的人。虽然这些尝试中有许多是“请点击（受感染的）附件”的变体，但用于减轻目标怀疑的手段已变得越来越聪明。黑客使用“欺骗”策略来伪装电子邮件、社交媒体帐户或网站，使其看起来来自公认的可靠来源，以便目标会在不知不觉中上传恶意软件。这些方法通常是单独定制的，并且使用了关于目标或目标信任的个人或组织的个人信息。在 Dream Job、In(ter)ception、North Star 和 WannaJob 行动中，朝鲜针对澳大利亚、印度、以色列、俄罗斯、韩国和美国的国防和航空航天专家使用虚假工作机会获取机密或专有信息。国防承包商作为诱饵在受害者的系统上安装数据收集植入物。这些网络团体通过创建合法公司的虚构 WhatsApp、Facebook 和 LinkedIn 个人资料来冒充招聘人员，甚至通过电子邮件和电话进行广泛的对话。类似的技术被用来对付银行、公司和其他组织的员工，以获取对计算机网络的访问权限。26朝鲜团体会模仿同事、朋友、记者或韩国相关组织来访问受害者的计算机，然后使用获得的信息或联系人列表进行后续行动。27 这些团体甚至委托专家撰写论文，然后用作针对其他专家的诱饵。28黑客和情报机构也欢迎将自己作为来源的目标。 “走进”的情报来源走进大使馆或 8朝鲜网络攻击：一种危险且不断演变的威胁否则联系政府来源自愿提供他或她的服务，而之前没有成为目标。黑客通过感染或创建潜在来源可能访问的网站来进行“水坑”攻击。黑客可以创建受感染的文档或链接，然后等待某人到达并在不知不觉中上钩。 2017 年，朝鲜黑客用恶意软件感染了波兰金融监管局的网站，该恶意软件被编程为下载到访问该网站的计算机上，前提是这些计算机来自 104 家预先选定的金融机构和电信公司。29一旦某个来源提供了访问权限，就会对可用信息（包括可能访问