NSA在索尼遇袭前已潜入朝鲜网络


NSA在索尼遇袭前已潜入朝鲜网络
DAVID E. SANGER, MARTIN FACKLER2015年1月19日

脱北者金恒光表示,早在上世纪90年代初,朝鲜的电脑专家就有用互联网攻击敌人的想法。Jean Chung for The New York Times

华盛顿——促使美国官员认为朝鲜应对索尼电影娱乐公司(Sony Pictures Entertainment)去年11月遭受的毁灭性网络袭击负责的线索,要追溯到2010年。当时,国家安全局(National Security Agency,简称NSA)紧急侵入了一个国家的计算机系统,这个国家被认为是全世界最难以侵入的目标之一。

根据前美国和外国官员、后来获悉相关行动的电脑专家,以及新披露的一份NSA文件的叙述,由于越来越担忧朝鲜日趋成熟的能力,该间谍机构侵入了将朝鲜与外界相连的中国网络,在颇受朝鲜黑客青睐的马来西亚连接中仔细筛查,并在韩国和美国其他盟友的帮助下,直接侵入了朝鲜网络。

官员称,该机构的一个秘密项目扩大成了一项雄心勃勃的行动,试图植入恶意软件,从而追踪朝鲜黑客使用的许多电脑和网络的内部运作。韩国军方前不久称,朝鲜黑客大致有6000人。其中大部分人听命于该国主要的情报机构侦查总局(Reconnaissance General Bureau)以及秘密黑客部门第121局(Bureau 121)。第121局在中国设有一处大型基地。

中国东北部城市沈阳。这里坐落着一些由朝鲜运营的酒店和饭店,以及一个“攻击基地”。一些黑客的IP地址被追踪到了这个基地。
Sheng Li/Reuters


官员和技术专家透露,监控朝鲜活动的软件采取了煞费苦心的隐藏措施,而这些软件的“预警雷达”搜集到的证据,在说服奥巴马总统就下令攻击索尼一事谴责金正恩(Kim Jong-un)领导的政府时,起到了至关重要的作用。由于谈论的是NSA的机密行动,这些官员和专家要求匿名。

奥巴马决定就下令对美国目标发动最严重的破坏性袭击,向朝鲜表达谴责,并宣称要进行报复,这样的举动极不寻常——报复已经以新经济制裁的形式开始了。美国此前从未明确指控某国政府对美国目标发动网络袭击。

助手称,奥巴马对根据情报得出明确结论颇为谨慎。但美国军方的一名高官称,对于此事,“他毫不怀疑”。

“确定袭击来源的过程极其困难和缓慢,”华盛顿国际战略研究中心(Center for Strategic and International Studies)的网络战专家詹姆斯·A·刘易斯(James A. Lewis)说。“美国很快就认定袭击与朝鲜有关,而且对此十分确信,这说明这次的情况不一样,他们有某种内幕信息。”

美国对朝鲜系统的大举侵入也让人提出疑问,美国为何没能在去年秋天袭击正在酝酿时,就警告索尼。早在去年6月,朝鲜就警告称,发行电影《采访》(The Interview)将是“战争行为”。该片是一部粗劣的喜剧,讲述的是美国中央情报局(CIA)密谋刺杀朝鲜领导人的故事。

平壤的晚宴

两名美国官员称,9月初袭击开始时,NSA近年来在侵入朝鲜系统方面取得的成功,本来应能让该机构发现索尼遭受的第一波“鱼叉式钓鱼”攻击,即通过电子邮件,在不知情的用户点击某个链接时,将恶意代码植入电脑系统。

但那些攻击看上去很平常。调查人员在回忆时才断定,朝鲜盗取了索尼一名系统管理员的权限,从而使黑客能在索尼的系统内部自由行动。

最近几周,调查人员断定,从9月中旬到11月中旬,黑客用了两个多月的时间来绘制索尼电脑系统的结构图、识别关键文件夹,并策划如何破坏电脑和服务器。

“他们非常谨慎、有耐心,”一名了解调查情况的人士称。但他接着表示,即便能观察到朝鲜的活动,11月24日袭击开始时,美国情报机构“也没有真的明白”即将到来的破坏的“严重程度”。

实际上,11月初,为了实现两名被关押的美国人获释而身负秘密任务前往平壤的美国国家情报总监小詹姆斯·R·克拉珀(James R. Clapper Jr.),还临时与朝鲜的对等官员共进晚宴。官员称,他当时并未提及索尼或朝鲜愈演愈烈的黑客行动。

最近在纽约的福特汉姆大学(Fordham University)发表演讲时,克拉珀承认,侦查总局的负责人金永哲(Kim Yong-chol)“后来负责领导了针对索尼的攻击活动”。他和金永哲曾在一顿共有12道菜的晚宴中进行了针锋相对的交流。(克拉珀对这顿饭赞赏有加,但东道主后来让他为自己的那份饮食买了单。)

小詹姆斯·R·克拉珀上将说,去年秋天,他和后来监管了针对索尼网络攻击的人共进了晚餐。
Mark Lennihan/Associated Press


前朝鲜军方程序员张世列(Jang Sae-yul,音译)在2007年逃出朝鲜。他在首尔接受采访时说:“他们建立了可怕的黑客攻击能力。他们花了近30年做准备,学习该怎样做,怎样针对具体的国家。”

尽管如此,考虑到索尼所受攻击的复杂程度,许多专家称,他们不相信朝鲜是罪魁祸首,至少不相信朝鲜是唯一的发动者。他们暗示,实施攻击的可能是一名内部人士,如心怀不满的索尼前员工,或者是一个巧妙地伪装成朝鲜黑客的外部组织。美国联邦调查局(FBI)局长詹姆斯·B·科米(James B. Comey)披露了一些美方掌握的证据来回应质疑,但此番努力仍然未能令许多人信服。

也是在福特汉姆大学的那场会议上,科米说,朝鲜掩盖痕迹的工作开始变得“马马虎虎”,黑客们会定期“直接连接网络,我们可以看到他们”。

“除此之外,我们还可以看到,用来发布信息和发送电子邮件的IP地址是朝鲜人专属的,”他说。专家们称,其中有些地址似乎在中国境内。

然而,怀疑者说,如果黑客想要隐藏自己的位置,假装自己是朝鲜人,并不是那么难。科米说,还有其他一些证据,但他无法公开讨论。美国国家安全局局长迈克尔·S·罗杰斯上将(Michael S. Rogers)做出了同样的表态。他在福特汉姆的会议上说,在评估了这些机密数据之后,他有“高度的信心”认为朝鲜下令实施了攻击行动。

首尔的攻击

一名前美国官员说,2010年,当美国首先进入朝鲜的网络和计算机时,其监控行动专注于朝鲜的核计划和领导人,同时也努力监控针对驻韩美军的攻击活动。(德国《明镜》杂志[Der Spiegel]周六公布的一份NSA的文件中,披露了韩国协助美国对朝鲜实施间谍活动的一些细节。)后来,韩国的银行和媒体公司在2013年遭到了一场破坏性极强的攻击,表明朝鲜正在成为更大的威胁,于是关注点发生了转移。


“这些黑客变成了主要目标,”这名官员称。

那次攻击令韩国五家银行和一些电视台的近5万台计算机和服务器瘫痪了数日。

这些黑客很有耐心,他们花了九个月的时间来侦测韩国的这些计算机系统。但就像针对索尼的攻击活动中看到的一样,他们也出现了一个失误:一度暴露了韩国分析人士所说的真实的IP地址。高丽大学(Korea University)信息安全研究生院院长林钟仁(Lim Jong-in)说,这些地址被追踪到沈阳,来自一个与朝鲜企业有关的IP地址段。

美国的情报机构对那次袭击活动进行了研究。然而,在朝鲜去年6月对索尼的电影发出警告之后,美国官员在与索尼高管的讨论中,似乎并没有提到这一风险。即使是9月份,朝鲜开始针对索尼和其他目标发起钓鱼攻击时,“也没有引起警惕”,一名参与调查的人说。

结果是,在11月份破坏性的攻击活动开始之后,美国官员才开始关注朝鲜。当时,索尼公司员工的电脑屏幕上突然出现了骷髅头图片和血腥的索尼高管形象。(黑客的这个宣传举动可能帮了索尼:一些员工立刻切断了电脑电源,使一些数据得以免遭破坏。)

官员们称,美国官员认定攻击来自朝鲜并没有花费很长时间。一名白宫官员称,“考虑如何做出回应则要困难得多。”


David E. Sanger自华盛顿、Martin Fackler自韩国首尔报道。Nicole Perlroth自旧金山对本文有报道贡献。
翻译:陈亦亭、王湛

评论

热门博文