朝鲜如何雇佣核黑客入侵毁灭性技术？

2024年1月19日，巴西一家核电公司的一些工程师收到了通过各种专业平台（如LinkedIn和GitHub）发送的工作邀请，其中包括丰厚的薪水和先进的职业机会，此外还有知名国际公司的聘用，其中一些公司还与高级政府机构合作。

这些录用通知非常精心设计，甚至包括这些公司人力资源经理的实际签名，一切看起来都很正常，直到工程师被要求在招聘过程中进行技能评估。

但为此目的发送的文件只不过是朝鲜侦察总局（RGB）第三局下属网络黑客组织“隐身眼镜蛇”（Hidden Cobra）或“拉撒路集团”（Lazarus Group）精心准备的陷阱。朝鲜侦察总局是朝鲜最重要的军事情报机构，被认为是平壤大部分网络攻击行动背后的主力。

根据卡巴斯基公司专门从事网络安全服务的研究和分析团队的报告，一旦他们收到这些文件，就会激活复杂的数字感染，依靠部署一种新的标准后门软件，称为“Cookies Plus”，它能够伪装成熟悉应用程序（如Notepad++）的开源插件，使用户或正常的安全系统难以检测到。该软件虽然可以远程执行操作员的命令，但它允许操作员在目标网络上的设备之间移动。

卡巴斯基的报告还将这些攻击与朝鲜侦察机构监督的长期网络间谍活动联系起来，该活动被称为“梦想工作行动”，因为它在针对包括国防、太空和加密货币部门在内的各个组织的员工时采取了一种“社会工程”的形式，开始是发送虚假的招聘电子邮件或虚假的安全更新报告，但最终导致在他们的设备上部署恶意软件，使操作员能够查看和控制存储在设备上的所有信息。

此外，朝鲜的网络攻击有时会针对供应链，一些重要机构的技术供应商受到攻击，导致恶意软件被植入到这些机构所依赖的软件中。正如上述案例中提到的，它使运营商能够侵入其系统。

该活动于2019年首次被发现，当时该部门针对了几家与加密货币领域相关的全球公司。但最近的攻击表明，攻击范围正在向欧洲、拉丁美洲和韩国的IT和国防公司扩张，特别是那些与核能领域相关的公司。

用金钱和信息支持平壤的核能力

据美国财政部介绍，拉撒路旗下有两个分支机构：BlueNorOff（又名APT38）和安达里尔（Andariel），它们在支持平壤核能力方面发挥着某种互补作用。

第一个机构成立的目的是通过非法获取收入来规避对朝鲜实施的经济制裁的影响，然后将这些收入用于资助平壤的弹道导弹和核武器计划。因此，BlueNorOff主要针对外国金融机构进行网络抢劫，并且是针对金融部门发动大规模攻击最成功的团体之一。

BlueNorOff于2014年首次被发现，当时平壤的部分网络努力转向获取经济利益，而其他网络活动仍然集中在获取军事情报或恐吓对手上。

截至2018年，该组织已成功对11个国家的16个组织实施了多起网络攻击，其中包括SWIFT信息系统、加密货币交易所和多家外国金融机构。

其最臭名昭著的活动之一是2016年2月对孟加拉国中央银行发动的网络攻击，BlueNorOff利用国际汇款SWIFT系统的漏洞，并使用与朝鲜黑客攻击索尼影业时使用的恶意软件类似的恶意软件，从该银行的联邦储备账户窃取了约8100万美元。与此同时，最近的报道将“拉撒路集团”与2月份的Bybit加密货币交易所黑客攻击事件联系起来，此次事件造成约15亿美元数字资产损失，成为历史上最大的加密货币盗窃案。

第二个组织安达里尔（Andariel）主要关注国防、太空、核能和工程实体，目的是获取秘密技术和智力信息，以增强该政权的计划和军事及核野心。该组织还对医疗和能源行业感兴趣，但程度较轻，但这种兴趣主要受经济动机驱动，这意味着其目的往往不是为了获取信息。

根据美国陆军2020年7月的一份报告，安达里尔主要针对其邻国韩国进行间谍活动和军事升级，以及试图通过秘密访问信息系统和在不被发现的情况下更改关键数据元素来制造混乱的网络破坏和信息操纵。

这项技术提供了无数的可能性，例如，可以在战斗中改变敌方单位和士兵的位置数据，让他们相信自己在正确的位置，而实际上他们并不在，或者让他们将军队中的其他单位视为敌军。

这种操纵还可以迫使系统执行其不打算执行的功能，例如在目标瞄准或空域控制系统中创建虚假信息，以及误导制导和传感器，这些通常是在战场上迷惑敌军的策略。

值得注意的是，安达里尔组织于2016年成功入侵韩国国防部长的个人电脑。他们还成功侵入朝鲜国防部内部网络，获取约300份机密文件，总容量约235GB的海量数据，其中包括美韩联合制定的秘密战争应急计划，据报道，其中一项计划包括在朝鲜半岛爆发战争时暗杀朝鲜领导人金正恩，即所谓的“斩首计划”。

活动的转变反映了朝鲜政权的利益

另一方面，谷歌旗下专注于网络安全的美国公司“麦迪安”（Mandiant）的评估将安达里尔列为“高级持续性威胁第45号”（APT-45），并指出其自2009年（即美国国家侦察总局成立之年）以来就参与了网络间谍活动。

麦迪安认为，安达里尔活动的变化（就目标性质而言）反映了朝鲜政权地缘政治优先事项的变化。尽管该组织从2017年开始将重点放在政府机构和国防工业上，但其后续活动（直至2019年）与平壤对核问题的兴趣一致，并且据观察，2024年该组织的活动转向以经济为目的的行动，目的是筹集资金用于朝鲜政权的优先事项，尤其是核计划。联合国观察员认为，该政权涉嫌在2017年至2023年期间进行网络攻击所得收益被用于改进和扩大其核武库。

安达里尔的做法与其他韩国运营商不同，其攻击目的是出于经济动机。该组织似乎专注于通过勒索软件进行这些操作，加密目标设备上的数据，然后向受害者勒索钱财以解密他们的设备。2022年就发生过这种情况，当时该组织使用Maui勒索软件攻击日本和美国的医疗机构。据信，该部门在2017年至2023年期间获得了超过30亿美元的非法利润。

据估计，自2007年成立以来，“拉撒路集团”总共窃取了至少价值34亿美元的加密货币，这是朝鲜政权的重要收入来源。

据美国国防网络局称，安达里尔针对的是欧洲、美洲和亚洲多个国家的国防、航空航天、核能和工程领域。美国战略与国际研究中心指出，该部门自2019年以来就将很大一部分活动针对核实体，当时它使用名为Dtrack的恶意软件侵入了印度的库丹库拉姆核电站，该恶意软件能够记录击键、扫描连接的网络并监视受感染计算机上的活动进程，并且在与安达里尔组织相关的攻击中也发现了相同软件的元素。

领导麦迪安公司朝鲜调查的首席分析师迈克尔·巴恩哈特声称，平壤的军事能力近年来有了诸多发展，包括与其核计划相关的发展，这可以直接归因于安达里尔组织针对世界各国政府和国防组织的成功间谍活动。

该小组获得了一系列与朝鲜核项目有关的敏感计划，其中包括与铀加工和浓缩有关的信息，以及与政府核设施、研究机构、废料及其储存方法有关的信息，还有直接支持平壤核能力的导弹设计和导弹防御系统蓝图。

有益的鲁莽

在同一背景下，美国调查发现，安达里尔组织长期参与了对美国宇航局NASA的入侵，在此期间，该组织窃取了超过17 GB的非机密数据，其中包括与导航和制导技术相关的软件组件和信息，以及与导弹和飞机应用直接相关的系统。

这些数据很可能被直接发送给朝鲜情报部门，目的是支持其开发更精确的导弹瞄准系统。

与拉撒路类似，韩国综合调查队的另一个网络黑客组织，名为Kimsuky （APT-43），据信对2021年韩国原子能研究所内部网络的黑客攻击负有责任。该研究所是一个开展核能和核燃料技术研究的政府组织。

据信，Kimsuky还涉嫌策划2014年韩国水电核电公司数据泄露事件，该公司负责管理韩国的23座核反应堆。虽然没有证据表明该公司的核控制系统遭到破坏，但此次攻击导致至少两座核反应堆设计相关数据、电流图和当地居民辐射暴露估计值泄露。

随后，韩国媒体报道，这些组织在2022年至2023年间成功渗透韩国83家国防制造公司，并获取其中约10家公司的机密数据。

根据英国信息安全联盟（NCC）的分析，朝鲜的网络攻击部队比俄罗斯和中国等国家的同行更加鲁莽。这与它们不惧怕被排斥或惩罚有关，而且没有任何因素会妨碍它们履行职责，因为它们的国家对外部压力不敏感，也没有表现出遵守任何国际公认规则的意图，而不像中国或俄罗斯模式那样，在某种程度上以政治谨慎的平衡来管理。

其中一个证据是，一些俄罗斯勒索软件组织，如DarkSide、REvil等，在发起破坏性的勒索软件攻击后突然消失，也算是莫斯科对美国政治压力的一种审视和接受。

与其他国家政府部门所属的竞争对手相比，这种自由使韩国部队有机会实现更大的目标。据英国信息安全联盟介绍，这些部队的成员从朝鲜数千名年轻人中挑选出来，在很小的时候（大约11岁）就被招募并接受训练，作为回报，他们享有多项特权，例如宽敞的公寓和免服兵役。

威慑的另一面

总体而言，这通过几个方面促进了朝鲜核武库的增长，首先：缩小实验和技术知识方面的差距，因为平壤能够模仿和复制其他模型，而无需经过昂贵的现场实验阶段——无论是在时间还是金钱方面。它还支持根据窃取的数据提供国内技术替代方案，让平壤了解西方核系统的内部设计方式，并通过勒索软件和网络攻击获得资金，帮助该政权绕过制裁的影响并继续积累核威慑力量。

更进一步，美国国家安全专家、前白宫顾问理查德·克拉克指出，网络黑客活动与核武器之间的关系可能会影响威胁和威慑的另一个方面，因为任何对核武器系统的成功网络攻击都可能导致某种误判，进而引发毁灭性的核爆炸。

克拉克提出了这方面的三种可能情况，即任何未知的行为者都可能干扰一个国家的核指挥和控制系统，煽动其发动一系列非预期的危险行动和反应。

黑客还可以冒充核国家的预警系统，让他们相信该国正遭受攻击。一个国家只有几分钟的时间来决定是否使用核武器回应这种模拟袭击，因此存在误判和爆发核战争的可能性。

第三种也是最糟糕的情况是，核武器基础设施的通信系统或其他部分遭受网络攻击，使国家无法控制其武器，并让黑客有机会远程控制它们。有一条规则说：任何地方只要有一个核系统渗透，就会对整个地区造成核威胁。

总而言之，朝鲜的案例表明，网络空间可以重塑传统威慑的逻辑，因为一个国家可以以最小的代价取得核进展，或者不费一枪一弹就摧毁对手的核系统。传统指挥系统和网络指挥系统的重叠也增加了发生错误或意外升级的可能性。