解密朝鲜110实验室
2009-09-03王晔
王 晔
韩国认为持续三天的黑客攻击由朝鲜军方操纵,锁定的92个IP地址却没有一个来自朝鲜从1995年开始,韩国每年都会通过电脑演练战争策划和作战能力,时间不定。
2007年是在韩朝部长级会议召开的前一天,5月8日。今年,从7月20日开始,这一天刚好距韩国各大网站被黑客攻击结束10天。
从7月7日下午6点开始,包括韩国总统府、国防部、外交通商部和主要银行、媒体、企业在内的25家网站被黑客连续四天攻击。7日当天,各大网站瘫痪长达4小时,到10日晚,韩国有7.4万部个人电脑感染病毒,电脑硬盘随后被黑,所存数据全部丢失。
韩国是世界上网络用户比例最高的国家之一,几乎有2/3人每天都上网。对于来势汹汹的黑客攻击,号称宽带普及率最高的韩国只能建议用户暂时不上网(国际信息技术与创新基金会2008年5月排名,在30个经合组织国家中,韩国宽带最发达,普及率为93%)。
7月10日,韩国国家情报院为此次黑客攻击定下假想敌朝鲜,理由是从7月4日开始,美国政府的网络也被攻击过两天。
貌似强大的110实验室
“朝鲜110实验室的黑客根据上司命令执行的这次网络攻击,”这是韩国国家情报院向韩国国家情报委员会汇报时得出的初步结论。早在韩国国家情报院指出朝鲜与此次黑客攻击有关前,韩国唯一的、也是官方的韩联社在第一时间也指认是朝鲜军队做了手脚。
6月7日,韩国国家情报院截获侦探局发给110实验室攻击韩国网络的情报。110实验室,按照韩国国家情报院的理解,隶属于朝鲜军队总参谋部侦探局,目前有100多名黑客,全部毕业于平壤自动化大学。7月9日,韩国最大的传媒机构《中央日报》还对110实验室进行了详尽解读,称110实验室极有可能在今年初被由金正日担任委员长的朝鲜国防委员会收编为直属单位。
平壤自动化大学的前身是美林大学,这是朝鲜第一所专门培养黑客和电子战部队的秘密军事学院,始建于1981年,坐落在朝鲜北部的云山地区。云山在朝鲜主要河流清川江正北,在鸭绿江南100公里处。朝鲜军队内部称这所大学为电子战学校。除了平壤自动化大学,金日成军事综合大学从1986年开始也招收计算机专业学生,学制五年。这两所大学每年都会有100名优秀毕业生被朝鲜人民军选为黑客。据韩朝社报道,朝鲜人民军共有500到1000名黑客,都是由这两所大学的学生组成,每年新的学生进来,老学生就会退役,以保证朝鲜人民军黑客的技术一直跟上国际水平。
按照韩国的说法,这些黑客通常会以留学生或经商的身份混在世界各国,暗中入侵美、韩、日与军事有关的电脑系统窃取情报,必要时也会传播病毒。就在韩国被大规模黑客袭击的前两天,韩联社还说韩国国家情报院已经确认朝鲜军队扩编了网络战专业人才,命名为“技术侦探组”。两天后,韩国各大网站遭受了DDoS攻击。
DDoS意为分布式拒绝服务攻击,其中的DoS主要是通过控制傀儡机,模拟合理要求登录某个网站来占用资源。当太多傀儡机同时登陆某一网站时,网站就会很忙碌,无法处理用户的登录,最终网站就会陷于瘫痪。举个简单的例子,DDoS攻击就像同时有很多人拨打一个电话,到最后的结果就是谁也拨不通。
在7月7日开始的网络攻击中,全球共有76个国家的16.6万台电脑成为黑客的“肉鸡”,其中有7.8万台“肉鸡电脑”在韩国。韩国国家情报院在7月10日仅分析出19个国家的92个IP地址。至于攻击韩国总统府青瓦台网站的“MasterIP”,则是在英国,而且是越南追踪到的。
韩国国家情报院公布的IP数据表面上和朝鲜并没有关系,7月7日执行DDoS的电脑来自奥地利、格鲁吉亚、德国、韩国和美国。而在此后执行攻击的电脑IP,有中国、日本和俄罗斯,同样没有一个来自朝鲜。尽管如此,韩国国家情报院还是认定朝鲜黑客在幕后操作。7月13日,《中央日报》甚至言之凿凿地说中国边境城市丹东的星海酒店四层就是朝鲜网络战的一个据点。从2004年开始,朝鲜在这里建立了115平米的安全室,里面有十几台电脑都在24小时联网。而就在当天,中国《环球时报》记者在星海酒店并没有发现有一个“十几台电脑同时开机的、115平米的办公室”。
韩国国家情报院之所以这么肯定,是因为被集中攻击的25个韩国网站基本上都属于保守团体。此外,攻击显然是有组织的,在7月10日零点开始,所有“肉鸡”电脑开始自动化格式硬盘,所有使用痕迹全部被删除。
被充分重视的朝鲜黑客
自称屡次截获朝鲜军队情报的韩国国家情报院在7月7日就中招了,虽然损失并不严重。事实上,此次黑客攻击并没有对韩国政府和军方网站造成太大冲击,原因是这些网站从今年3月起开始与外部网络分离。
韩国对此次攻击应该早有准备。2007年,韩国联合参谋本部召开了朝鲜心理战非公开研讨会,确认朝鲜“人民军总参谋部侦察局下属121所黑客部队(300人)和敌工局下属204所网络心理战部队(100人)正在运作中。”此次黑客攻击后,韩国情报部门猜测110实验室很可能就是121所和204所的另一个代名词,原因是朝鲜黑客组织经常变换名字。
7月9日,美国称已经追踪到一些执行DDoS的IP地址在朝鲜,紧接着开始调查朝鲜是否与此次攻击有关。一直没有公开表态的韩国国家情报院虽然在10日还称不确定是朝鲜军队发动了攻击,但韩国官方媒体已把矛头公开指向朝鲜。实际上,美联社在7月9日之前一直给韩国国家情报院打电话确认此事,情报院保持沉默。
按照朝鲜现在的国情,开展网络战几乎是不太可能的事情,但美国和韩国不这么看。就在6月27日,朝鲜中央通讯社还发表评论,指责韩国散布朝鲜参与网络袭击的虚假消息,但同时也说朝鲜“完全有准备打任何形式的高科技战争”。2008年,韩国国会情报委员会称朝鲜军方的黑客曾在2006年试图攻击美韩两国国防部,而今年5月的韩国外换银行、国民银行网上银行黑客事件也是朝鲜黑客部队所为。
2006年,韩国军方称朝鲜黑客可以让美国太平洋司令部的指挥系统瘫痪,美国情报部门更是在2000年就断定朝鲜黑客水平仅次于中情局的黑客。美国反追访问记录,发现最近几年访问美国军方网站的IP地址大多来自朝鲜,朝鲜黑客甚至还非法登录美军网站。
在美国和韩国的眼里,朝鲜人虽然经济实力不强,但对网络技术的狂热却无人能及。据2007年3月《经济学家》杂志报道,朝鲜国防委员长金正日将电脑盲、吸烟者和音乐盲视为“21世纪三大傻瓜”。1996年金正日视察朝鲜西海前方部队时曾说:“将来一切战争都将是电脑之战。部队指挥官要学习电脑。我也每天花一个小时在用电脑。”
金正日迷上电脑有两个事例为证。2000年美国国务长官奥尔布赖特访问平壤时,金正日曾向他要电子邮件地址。2007年10月,金正日和当时的韩国总统卢武铉在高峰论坛时相遇,当卢武铉问到在朝鲜开城工业区的韩国公司能否上网时,金正日说完全没问题,因为自己“也是一位互联网专家”。美韩按照金正日对网络技术的重视,推断出朝鲜已经发展出一个遍布全国的政府办公局域网。
突然被攻击的韩国反应不算快,在情报提供和后续分析上没有太大作为的韩国国家情报院也被指只是用朝鲜来拖延被国民问责的时间。7月9日,韩国开始全面展开网络防御,但想让韩国不受黑客威胁,估计要等到明年6月,到时韩国网络司令部全面开始工作。
事实上,韩国早从2000年就在国防预算中增加5%来应对网络战,现在韩国军方有20万信息专业人才,美国国家安全局更是网罗电脑高手编成“红色小组”,只不过,该中招时还要中招,所谓“不怕被偷,就怕被惦记”。