近日, 开源情报公司Recorded Future旗下组织Insikt Group,针对朝鲜互联网网络活动进行了深入分析调查,调查认为,在朝鲜只有少部分的政权精英和统治阶层可以自由访问互联网,朝鲜高层对互联网的使用情况并不像想像中那样孤立封闭,相反却是非常与时俱进和高深复杂。
调查概述
这是我们朝鲜网络调查活动系列之二,在第一部分的 “North Korea Is Not Crazy”中,我们分析认为,朝鲜发起的网络攻击活动并不是疯狂无理性的行为,因为与其它国家情报机构相比,朝鲜在互联网领域开展的业务更加深入广泛。该系列中,我们通过与威胁情报组织Cymru的合作开展了综合分析研究,对朝鲜统治阶层和国家机器对互联网应用的计划和意图进行了侧面披露。
我们的分析表明,朝鲜领导人和执政阶层对互联网的使用并不陌生,他们非常热衷于访问西方网站和社交媒体,还会经常定期浏览国际新闻了解时政现状,观看在线视频或进行网络游戏,完全不与国际社会脱节。通过进一步调查,我们认为:
对朝鲜统治阶级实行国际社会孤立封闭的企图是失败的,他们多种方式的网络活动与西方并不存在差异
一系列数据表明,朝鲜通常的互联网活动并不是军事行动的前兆预警。朝鲜执政阶层并不会直接对其网络攻击活动进行干涉
朝鲜不会在本国内发起针对其它国家的网络攻击活动,大多数国家级别的网络攻击活动都发起于第三方国家
所有分析表明,在朝鲜的网络活动中存在着其它工具、技术和合作方支持,我们推断,在朝鲜无核化道路探索中,可能还存在其它对朝政权的施压。
背景
据韩国媒体估计,朝鲜境内仅有400多万的移动手机终端使用量,所以在韩国移动手机非常普遍的同时,而绝大多数朝鲜人却没有上网的机会。出售给普通朝鲜人的手机只开启了包括语音、短信、图片视频彩信功能的最少3G服务,并只支持朝鲜境内移动运营商Koryolink。
一小部分用户,如大学生、科学家和政府官员,可以通过大学和网吧的普通计算机接入朝鲜国内的国营内联网。Slate杂志曾对朝鲜国家内网有如下描述:
该国家内网名为Kwangmyong,目前已连接到各大图书馆、高校、政府部门,并将慢慢普及到一些小康居民家庭。内网服务中包含了一些国内网站、在线学习系统和电子邮件等。其中可访问的网站并不多样化:大多属于国家新闻服务、大学、政府信息技术服务中心和少数其他官方组织,好像还包括一个韩国料理的烹饪学习网站。
在有权使用国家内网的用户中,又有少数为数不多的最高层领导和统掌权人士允许直接接入访问全球互联网。虽然该数目不详,但记者估计“只是小范围人士”、“圈内的朝鲜领导层”或“几十个家庭“。不管确切数字,朝鲜的互联网用户轮廓已经非常明了,只有那些国家机器、政权高层或其可信成员和家庭成员才能自由访问互联网。
朝鲜政权高层访问互联网的三种主要方式:
首先是通过分配的.kp范围IP 175.45.176.0/22,这些IP上托管着朝鲜全国可通过互联网访问的所有网站,其中包括九个顶级域名网站(如co.kp,gov.kp和edu.kp)和大约25个各种朝鲜国营媒体、旅游和教育相关的子域名网站。
第二种方式是通过一系列由中国网通公司分配的IP范围210.52.109.0/24,其运营网络名为“KPTC”(朝鲜电信公司),也即朝鲜唯一官方移动通信网络运营商高丽电信子公司。
第三种方式为通过一个由俄罗斯卫星公司SatGate提供的指定IP范围77.94.35.0/24,目前IP解析指向黎巴嫩。
分析
从以上数据来看,首先:我们所说的朝鲜互联网活动,或朝鲜统治阶层对互联网(不是国家内网)的使用是需经授权的,但从目前仅有的数据来看,朝鲜掌权人士对国家内网Kwangmyong和其它国家驻朝机构或外交网站的访问情况,我们还不能有所了解。
其次,我们着重对2017年4月1日至7月6日时间段作了分析,原因在于该段时期属朝鲜导弹测试和发射活动的密集时期,数据分析更能反映真实深入的网络活动。
2017年4月1日早晨,就像很多西方人刚刚起床有查看电子邮件和社交媒体的习惯一样,一小部份朝鲜统治阶层人士以同样的方式,早起开始了新的一天。他们中有些人在访问新华网或人民日报网,有些人在登录自己的163.com电邮帐户,另外一些人则在优酷上播放中文视频,也有人在通过百度和亚马逊进行搜索查询。
我们对一些有限时间段内的网络数据采集分析后,对这个原本封闭的国家和其统治阶层有了新的认识。我们的分析表明,为数不多可以正常访问互联网的朝鲜领导人和掌权人士非常活跃,他们热衷于流行文化、国际新闻和现代服务技术的程度远超朝鲜之外的世人想像,朝鲜政权高层似乎并没与世隔离,也对其在国际政治中的决策行径所带来的影响后果不无了解。
这些数据为我们描绘了2017年4月至7月期间,朝鲜互联网的使用和活动情况。作为参考,我们能综合形成一些独特的见解。分析数据显示,朝鲜执政领导和掌权人士通过接入访问的现代网络社会,对他们在导弹测试、人权镇压和犯罪活动等方面国际社会非常关注的决策影响后果都能有所意识和了解,这些决策都不是大多数人认为的孤立封闭或信息不对称原因所导致的。
朝鲜高层对互联网的使用模式
尽管可以自由访问互联网的人数有限,且在语言、文化、社会和法律方面存在认知障碍和对其它国家的偏见敌意,但在互联网使用方面,朝鲜统治阶层和掌权人士与大多数西方人并无差别。
例如,与发达国家的用户一样,朝鲜高层人士倾向于社交媒体信息交流、搜索网页、浏览亚马逊和阿里巴巴等购物网站。虽然在2016年4月,Twitter、YouTube等新型社交网站已被朝鲜官方严格审查,但对朝鲜高层人士来说,Facebook仍然是他们喜欢使用的社交网站。
此外,在2017年4月至7月期间,朝鲜高层人士对互联网的使用明显出现异常,平日里,最频繁的互联网活动时间大约从上午9:00到晚上8-9点,其中,周一周二的互联网使用活动最为频繁。
朝鲜的互联网活动与其导弹发射并无关联性
许多专家学者推测,朝鲜的互联网活动和其导弹发射试验之间可能存在关联,特别是在此朝鲜对导弹的试射期间,朝鲜网络空间或互联网活动可能会出现波动。虽然我们无法感知朝鲜的恶意网络活动水平,但经我们对一些数据集的分析比较后发现,朝鲜互联网活动和其导弹试验发射之间并不存在相关性。
朝鲜从其它国家发起的网络攻击活动
据我们观察,2017年4月至7月,朝鲜未从本土发起过任何恶意网络攻击行为,结合以往攻击事件表明,朝鲜基本不会利用本国网络架构实施网络犯罪或针对别国的网络攻击活动。这是金正恩政权可以利用并造成一些非对称信息的主要方式,既限制了本国的网络自由和灵活度,又降低了实施网络攻击带来的后果和影响。
数据分析同时表明,朝鲜一些国家中,设置有明显的用来发起网络犯罪和网络攻击活动物理资产和虚拟资产,这些国家包括印度、马来西亚、新西兰、尼泊尔、肯尼亚、莫桑比克、印度尼西亚。我们认为:
朝鲜在印度设置有一定规模的物理和虚拟资产。可以从印度外交部发布的与朝鲜双边关系提升的文章<友谊、合作、理解>中窥见端倪
从文章中表明的朝印合作方式来看,朝鲜至少在印度7所大学和多个科研和政府机构有合作关系
2017年4月至7月间,我们观察的朝鲜网络活动流量中有20%与印度相关
据观察,朝鲜与马来西亚、尼泊尔、肯尼亚、莫桑比克、印度尼西亚各国之间都有着大量的网络流量交互。除了从别国发起网络犯罪或攻击活动外,这些与别国地方资源、新闻媒体和政府的网络交互明显异常。
另据其它媒体报道,朝鲜在中国构建有实施网络攻击的实体资产,包括在沈阳的一座合资酒店。2017年4月至7月间,我们观察的朝鲜网络活动流量中有10%与中国相关,不包括由中国电信公司提供接入的网络流量。
我们发现,朝鲜与中国的网络流量活动与上述提及的7国不同,主要由于流量中大部分是朝鲜高层对多家中国网站(淘宝、阿里云和优酷等)的访问浏览,这些流量中基本反映不出朝鲜是否在中国设置的物理或虚拟资产的迹象。以上网络流量活动的分析可以说明,朝鲜很有可能正计划从多个第三方国家发起网络攻击。
朝鲜互联网活动中的VPN/VPS使用情况
在我们观察期间,朝鲜有不到10%的网络流量采用了加密和安全保护机制,在这些流量中,又广泛存在一些不合规的TLS/SSL应用和VPN/VPS数据交互。这其中的VPN和VPS都是按月付费的,可能为某个人和政府部门统一管理。虽然这些VPN/VPS都隶属于一些知名的外国公司,如Sharktech、iWeb、Digital Ocean、Linode、Leaseweb USA、Telemax和Touch VPN等,但尚不清楚朝鲜购买这些虚拟网络服务的渠道和方式。
这些虚拟网络服务中,其中一个iPad使用的VPN账号曾用来登录过Gmail、 Google Cloud、Facebook和MSN,并访问过成人网站。其它VPN和VPS则大多被用来运行Metasploit、购买比特币、刷Twitter、玩在线游戏、看视频、向Dropbox上传文档和浏览亚马逊网站。
可疑网络活动:比特币挖矿
在我们的观察期,朝鲜网络中出现了小部分但非常异常的可疑流量,例如5月17日进行比特币挖矿的网络行为。在此之前,几乎没有与比特币相关的网站或节点出现过,5月17日当天,其挖矿行为突然爆发,从无到日均上百次请求,更可疑的是它出现在WannaCry勒索攻击事件后几天。此前NSA曾认为WannaCry勒索攻击与朝鲜侦查总局RGB相关,目的在于为金正恩政权谋取利益。目前,尚不清楚朝鲜比特币网络挖矿行为的幕后主使,但由于朝鲜有限的地址空间,这种深度网络活动可能来自国家管理控制。
此外,在此期间,朝鲜网络用户中曾对科研和网络侦察有所关注,并大量访问了多个国外实验室和研究机构。如印度太空研究组织-国家遥感中心、印度国家冶金实验室、菲律宾科技厅先进科学技术研究院等科研机构,但这些网络流量中我们无法确认是否属于恶意网络攻击行为。
总结
以上数据提供了一个前所未有的,能让我们侧面洞察朝鲜高层和政权人士兴趣所在的重要窗口,比如,这些高层用户中,有使用VoIP服务进行跨国通信、利用AOL账户定期访问国外新闻的,部分人则经常访问美容保健网站,有些人经常在线购买昂贵运动鞋,和经常使用iPhones、iPad和黑莓手机进行通信。
除此之外,还有一些人每天都会花时间研究网络安全企业,这些安全企业包括卡巴斯基、赛门铁克、McAfee和奇虎360等,甚至还包括一些如DoSarrest和Sharktech的DDoS防御公司,其中还有个别用户与Thuraya(舒拉亚)卫星系统公司有过交流。
经观察的朝鲜网络流量中,有达65%的流量与游戏和视频流相关,这其中,大部分流量为访问中国视频网站优酷、iTunes和各种BitTorrent类的P2P视频服务。在线游戏方面,大部分朝鲜高层人士似乎对多人网游《坦克世界》情有独钟。
我们对朝网络的一系列数据分析和流量观察说明:
尽管遭受各种制裁并面临巨大的国际压力,但朝鲜执政阶层并未处于与世隔绝状态,他们非常活跃地融入了现代互联网社会和国际经济体中,当然也从某些方面说明了国际社会的对朝经济制裁似乎并不有效彻底
除了对平壤和朝鲜本国的关注外,国际社会也应该关注朝鲜与其它国家的合作发展关系
*参考来源:recordedfuture,freebuf小编clouds编译,转载请注明来自FreeBuf.COM