14 / 2018.10
一、事件概述:美国朝鲜各执一词
根据美国联邦调查局(FBI)的通缉令,被控人朴真赫(Park Jin Hyok)为朝鲜民主主义人民共和国公民,其真实身份是朝鲜军事情报部门赞助的“拉撒路”(Lazarus)黑客组织的一名计算机程序员。
美国司法部指控,朴真赫及其所在黑客组织通
网络攻击实施抢劫和非法入侵活动,包括鱼叉式网络钓鱼攻击、破坏性恶意软件攻击和软件攻击等。据此,朴真赫犯有和非法入侵罪,最高刑期分别为5年和20年监禁。美国财政部也宣布,将这名黑客及其所属企业列为美国自主制裁的对象。
指控提及的案例包括:2014年11月,对索尼影视娱乐公司(SPE)发起的破坏性攻击,以报复该公司讽刺朝鲜领导人的滑稽喜剧。2016年2月,通过鱼叉式网络钓鱼入侵孟加拉国银行计算机网络,发送
欺诈性认证消息,从该银行偷走8100万美元。该组织还试图通过类似的方法和“水坑袭击”于2015年至2018年间攻击多个其他银行。在2016年和2017年期间,通过发送鱼叉式网络钓鱼和其他恶意攻击软件方法,试图渗透萨德(THAAD)导弹系统总承包商洛克希德·马丁公司的计算机系统。2017年5月,编制并利用WannaCry 2.0软件,攻击感染全球数十万台计算机。
9月14日,朝鲜外交部官员韩永松专门就此事件发表声明,称美国指控所称的朴真赫此人并不存在,美国司法部提到的网络犯罪行为与朝鲜毫无关系,任何关于网络间谍或黑客的指控只不过是对朝鲜的诽谤,有可能扰乱美国总统唐纳德特朗普与朝
鲜领导人金正恩之间的会谈,美国应对由此可能影响朝美峰会联合声明执行的负面后果负责。
二、调查过程:取证方法与证据的局限
美国司法部起诉朴真赫的依据是美国联邦调查局于2018年6月8日发布的MJ-18-1479号文件。该文件详细描述了对朴真赫及其所在组织参与黑客攻击行动的调查情况。其中,美国联邦调查局的调查取证手段主要包括三个方面。
时间上的追溯。美国联邦调查局的调查团队,确定了朴真赫使用的与社交媒体账户,以及其在Lazarus 组织参与黑客活动时曾经使用的与社交媒体账户;详细调查了多家邮件服务提供商,
并通过网络侦察分析邮箱注册名称、注册信息、通信记录等,获得朴真赫的身份、出生地和工作单位信息;通过对已删除邮件的恢复,发现了朴真赫曾访问敏感信息和编写攻击型木马软件的证据。
网络空间的关联。调查人员通过对目标邮件曾使用地址的网络通信记录与被攻击网络设备的地址相关联,发现目标邮件用户与黑客攻击行动的相关性,其中包括用于访问恶意软件命令与控制服务器、社交媒体账户以及托管恶意软件已入侵服务器的IP 地址,同时,该IP 地址亦用于Lazarus 组织另一次针对洛克希德马丁公司的恶意软件攻击。
技术上的挖掘。调查人员发现,朴真赫曾经以“开发人员”与“在线游戏开发人员”身份工作,拥有Java 等多种代码编写能力。调查人员还发现,起诉书提及的数起网络攻击所使用的网络攻击软件存在大量复用代码,最常见的复用代码片段FakeTLS
网络预警
ybersecurity Awarenessthaad
C
美国起诉“朝鲜黑客”的启示:
强化网络主权意识 反对网络霸权行为
热度:★★★★
9月6日,美国司法部公共事务办公室依据联邦法院的刑事诉讼书提起指控,起诉一名朝鲜政府支持的黑客参与近几年多起网络攻击事件。对于此次起诉,美国和朝鲜各执一词,由于事件本身复杂,目前,事件结果尚无定论。
2018.10 /
15
数据曾反复出现在多个黑客软件中。对索尼、AMC 院线的黑客攻击,与在孟加拉国银行攻击案中对SWIFT 银行系统的攻击,所用技术一致,而软件WannaCry 与索尼和SWIFT 攻击中所用恶意软件略有不同,却共享IP 和地址。调查员据此推断,是朝鲜支持的黑客发起了上述网络攻击。
尽管案件起诉书长达179页,网络取证工作事无巨细,俱皆详列,但是,其所列出的证据存在明显缺陷,突出表现在以下三个方面。
嫌疑人直接参与犯罪的证据缺失。尽管调查报告罗列了大量攻击事件、可能的攻击邮件地址以及这些邮件与嫌疑人的关系,也承认这些邮件可能同时受到多个人员的控制,但是,却无法区分黑客组织内部分工和各组成员的具体职务行为。如果仅从朴真赫的教育背景、回国日期等推测其黑客攻击行为,则明显证据不足。美国司法部高级官员称,“朴真赫是刑事诉讼中唯一被起诉的个人,但是,起诉书写得很清楚,他参与的所有行动都有其他共犯。”
黑客行动获得政府支持的证据缺失。美官员表示,朴真赫曾供职的某公司实际上是朝鲜军事情报机构的前端与商业实体,负责“掩护”,此判断的根据是一位现居韩国的政治异见者所言。对外界宣称Lazarus 组织“隶属于朝鲜情报机构人民军总参谋部侦察总局旗下的‘110号实验室’”的说法,调查报告未给出任何证据,仅称其“极有可能”。对比之前公开材料披露的关于Lazarus 组织的各种来源分析报告、美官方机构内部的评估结论,这份起诉书除了提供更多更丰富的细节外,总体上看,并没有给出任何新的观点和结论。
获利证据缺失。调查报告指控朴真赫参与了孟加拉央行网络抢劫案,成功窃取8100万美元,但是却未能给出朴真赫与该项资金的任何关系。对于其他几项攻击指控,也未发现嫌疑人获利的证据。
三、动机结果:网络霸权或网络干涉?
实际上,该指控的立案起诉已于6月8日完成,之所以选择在9月6日公开,并由美国司法部长杰夫·塞申
斯(Jeff Sessions)、联邦调查局局长克里斯托弗·雷(Christopher Wray)和国家安全助理检察长约翰·德莫斯(John Demers)等宣布指控内容,由
美国财政部长史蒂芬·姆努辛(Steven Mnuchin)宣布财政部外国资产控制办公室(OFAC)根据刑事诉讼和13722号行政命令对朴真赫及其黑客组织进行制裁,充分说明此案的政治敏感,也不排除美方存有与随后公布的美国《国家网络战略》相呼应的意图。
凸显美国维护其网络霸权的国家意志。联邦调查局局长克里斯托弗·雷指出:“联邦调查局不断致力于揭露和阻止网络攻击背后的恶意行动者和国家,视朝鲜政府为这场破坏性全球网络攻击背后的力量, 我们将继续识别那些对恶意网络攻击和入侵负责的人。”美国公开起诉“非民主”政权支持的黑客,与《国家安全战略》宣称保护美国人的生活方式,管控网络安全风险,提升国家信息与信息系统的安全性,识别、反击、破坏、降级和制止网络空间破坏稳定和违背国家利益的行为等,不谋而合。
显示美国以法律手段打击网络犯罪的决心。美国第一助理检察官崔西·维奇森(Tracy Wilkison)指出,通过联邦调查局特工和联邦检察官的努力,揭
露了黑客们通过隐蔽手段犯下的复杂罪行,无论他们隐藏的方式和地点如何,都将攻击追溯到源头并发现追踪恶意行为。此举也从侧面印证了美国《国家安全战略》宣称的关于打击网络犯罪的内容:更新电子监视和计算机犯罪法;减少来自网络空间跨国犯罪组织的威胁;加强对海外犯罪分子的抓捕;加强伙
伴国家打击网络犯罪活动的执法能力。
继续对美国的敌对国家保持网络威慑态势。美国凭借其网络技术领先优势和网络管控地位,对网络空间不可接受的行为进行归因和威慑,确保情报部门在全源网络情报使用方面处于世界领先地位,遏制潜在的恶意行为者或竞争者。美国之所以公开起诉朝鲜政府支持的黑客,除了借助近年来影响较大的网络安全事件栽赃诬陷谈判对手,继续保持对朝鲜政府压力外,也不乏敲山震虎,威慑其他竞争对手的动机。
总之,对于此次起诉,虽然美方罗列大量“证据”,实则借此干涉他国政治。美国指责他国发起网络攻击,这次不是第一次,也不会是最后一次。世界各国唯有强化网络主权意识,加强网络行为安全,才能以独立的力量,反对强国的网络霸权行为。
热点舆情
(夏聃编写)