美国起诉朝鲜黑客：事涉索尼、WannaCry等

URL：https://www.wired.com/story/doj-north-korea-hacker-sony-wannacry-complaint/

translator：nana

(似曾相识。跟5年前的某事件有啥区别？总统都换人当了，做事还是老一套，也不嫌没创意……)

美国起诉朝鲜黑客：事涉索尼、WannaCry等

2014年感恩节前的一个周一上午，索尼影业位于卡尔弗城的总部里，员工纷纷发现自己的电脑屏幕被一幅红色骷髅图占据了，图片上还有写着：“We’ve already warned you, and this is just a beginning. (我们已经警告过了，这还仅仅是个开始。)”索尼影业自此迎来了长达一个月的噩梦：员工的私人电子邮件、薪资情况，甚至医疗记录都被自称为“Guardians of Peace (和平卫士)”的黑客公开到了互联网上。几年以来，网络安全界一直将该黑客事件的背后主使锁定在朝鲜人身上。2018年9月6日，美国司法部(DoJ)正式对朝鲜这个遁世之国的一名黑客提起诉讼，称其执行了索尼影业数据泄露、WannaCry勒索软件攻击、孟加拉央行8100万美元网络劫案等一系列黑客攻击。

起诉材料中称，程序员朴镇赫( Park Jin Hyok，音)是朝鲜黑客中类似变色龙的存在，环境适应力极强，至少从2014年起便参与了多起攻击性网络行动。虽然起诉书中重点描述的是索尼影业黑客事件、WannaCry勒索软件和孟加拉央行网络劫案，但同时也明确了这名黑客的活动远不止这几起轰动全球的网络安全事件，而且他的活动至今仍在继续。

“本调查的主体(包括朴镇赫)所犯计算机入侵罪行的范围及其导致的影响，几乎空前绝后。”

虽然起诉书只挑出了朴镇赫一个人，但鉴于所涉黑客行动的规模，公诉人非常明确：朴镇赫绝不是一个人开展行动。美国司法部称，朴镇赫明面上是朝鲜博览合资公司( Chosun Expo Joint Venture：疑似朝鲜政府的幌子公司 )的员工，外派中国从事了2年接待付费客户的工作，但在索尼影业黑客事件发生时返回了朝鲜。

谈及案件背景时，司法部高级官员称：“朴镇赫是刑事诉讼中唯一被起诉的个人，但起诉书写得很清楚，他参与的所有行动都有其他共犯。而且调查仍在继续。”

至于为什么只有朴镇赫被点了出来，那是因为网络安全调查本就难以建立足够的证据链以锁定特定组织或国家，更别说是个人了。考虑到美国官方早就公开指责过朝鲜是指控中所列绝大多数事件的背后主使；在此基础上收集几十页的证据归因溯源到某个个人身上，也是需要时间的。有鉴于此，可能朴镇赫是政府目前为止集齐了证据能够指控的唯一一人吧。

安全公司火眼的网络间谍分析高级经理 Ben Read 称：“能找到此类定罪证据，很多时候还是因为黑客自己犯了错误。想追溯到某个个人身上是非常困难的，这取决于黑客自身有多严谨。”

朴镇赫明显不够谨慎。调查人员发现朴镇赫的一个电子邮件账户与别名“金玄佑( Kim Hyon Woo，音 )”的账号间联系颇多。而金玄佑的邮件地址订阅了至少另外3个用于攻击包括索尼影业和孟加拉央行在内多个受害者的邮件或社交媒体账号。

起诉书还提供了朝鲜各种黑客活动的更多技术细节，其中很多攻击都始于我们如今耳熟能详的鱼叉式网络钓鱼，但也展现了朝鲜数字武器库令人惊讶的涉猎广度——网络安全研究界早已知之甚久，但极少如此直白地说出来。

火眼的 Ben Read 表示：“这些恶意软件的多样性告诉我们，朝鲜人对数字武器投入良多。创建这些定制化工具需要大量人力物力财力和时间。他们有资源来开发这些定制工具。这一点未必能使朝鲜独树一帜，但肯定能让朝鲜处于顶级民族国家之列。”

朝鲜近些年的网络动作堪称拉风。在这个充斥着动辄暴露几亿人个人信息的重大数据泄露时代，索尼影业数据泄露事件看起来颇为另类：虽然规模较小，但被公开文档的敏感性一点儿都不弱(人事管理局数据泄露事件虽然更为敏感，但那些信息却从未被公开披露)。从动机上看的话，倒也可以理解。毕竟，虽然大多数此类黑客攻击的本质主要是情报收集和获取经济利益，但对索尼影业的攻击却是出于报复，针对的是《刺杀金正恩》这部电影。

对索尼、AMC院线的黑客攻击，其他《刺杀金正恩》电影相关黑客事件，以及朝鲜对SWIFT银行系统的袭击，所用技术相当一致。yardgen@gmail.com这个邮箱不仅联系了《刺杀金正恩》的演职人员，还向孟加拉央行的员工发送过鱼叉式网络钓鱼邮件。两起黑客攻击中用到的恶意软件也有部分重合。作为勒索软件，WannaCry与索尼和SWIFT攻击中所用恶意软件略有不同，但调查人员发现它们在IP和电子邮件地址上却是共享的。

与索尼黑客事件类似，孟加拉央行网络劫案是众多银行盗窃案中最为引人关注的。朝鲜对欧洲、亚洲、非洲、北美和南美洲的多家金融机构展开了网络攻击。如果不是因为黑客在转账信息拼写上的一个小失误被某银行职员发现，从而紧急暂停了后续转账并设法追回已转资金，孟加拉央行损失的将不是8100万美元而是10亿美元。而若不是WannaCry意外内置了一个“死亡开关”严重限制了其传播，全世界受到的打击恐怕还要更加惨烈。

虽然美国及其盟友已经给朝鲜施加了无数的制裁，但此次起诉还真是DoJ针对朝鲜黑客提起的第一起法律诉讼。此前不久，美国才刚刚指控了俄罗斯的舆情和军事情报间谍，还有攻击了美国大学的伊朗黑客。司法部高级官员说：“这些行为违反了网络空间安全行为规范，国际社会必须在合适的时候解决这些问题。”

然而，该指控更多是象征意义上的。朝鲜向来是个与世隔绝的国度，其精英黑客不太可能落入美国司法部门的手中。该起诉书真正的作用，可能出自其对朝鲜黑客活动细节描述的程度，可以更好地帮助私营产业抵御未来的入侵。

“一般而言，信息越多越好。了解这种级别的对手是怎么运作的，可以帮助防御者好好计划应对可能遭遇的攻击。”

该起诉正值美朝关系中一个特别微妙的时期。在对金正恩冷嘲热讽几个月并威胁对核升级事件“震怒非常”之后，特朗普进入了与这个隐士国家的关系缓和期。但鉴于朝鲜可预见的不会真正无核化，这段缓和期会持续多久还未可知。

就在指控公开前几小时，特朗普推了金正恩一条：“朝鲜的金正恩表达了对‘特朗普总统的坚定信念’。谢谢金主席。我们会一起搞定这个问题的！”

(脸真大！精分总统果然名不虚传！刚赏颗糖就插刀，佩服佩服！)