点击下方小卡片关注情报分析师
本报告从情报分析的角度对朝鲜进行了专业、有效而详细的评估。文章节选自智库报告《朝鲜:2022年情报评估》。完整报告可扫文章底部二维码加入情报学院知识星球下载。
报告发布于2022年4月7日。
报告概要:
-
通过结合开源信息、网络数据评估朝鲜带来的网络威胁
-
详细说明朝鲜军事组织结构的最新变化和更新
-
将安全供应商与每个相应的军事和政府组织联系起来,涵盖名称和恶意软件
高管调查结果
朝鲜一直受到美国和联合国的压力,要求其无核化并终止其核武器计划。后来,对朝鲜的核计划实施了额外的制裁,这进一步限制和孤立了朝鲜与世界其他地区。朝鲜的经济,或缺乏经济,是制裁到位的直接结果。制裁造成的经济压力旨在迫使朝鲜政府进行合作。
金正恩对领导朝鲜网络部队的前任领导层失去了信心,比如RGB及其下属机构。该政权最近用更年轻、精通技术的男人取代了年长、更有经验的领导人。该政权从朝鲜顶尖技术大学挑选了这些人,以加强其最成功的军事武器:网络战。
此外,通过与中国和俄罗斯的支持和联盟,朝鲜通过网络战增加了军事实力并扩大了其全球影响力。现有的制裁和限制促使朝鲜继续对美国及其盟国发动攻击。只要朝鲜能够在经济上生存下去,网络攻击就会继续下去。
朝鲜情报机构结构与组织
朝鲜严格遵守其军事学说。因此,与当今大多数国家相比,知识匮乏,在朝鲜政府和军队的使命和结构方面存在许多信息差距。此外,朝鲜经常更新其领导层及其董事会的使命。尽管如此,通过结合来自许多资源的信息,我们认为以下信息描绘了对北韩网络部队及其支持元素的准确评估。
情报可视化:朝鲜治理要素(下图)
用来规划治理组织及其作用的大部分信息都来自北韩宪法,正式名称为“朝鲜民主主义人民共和国社会主义宪法”。根据该文件,朝鲜政府在最高领袖金正恩领导的“朝鲜劳动党”(KWP)的领导下开展所有活动。在工人党的领导下,国务委员会对多个局起监督作用,每个局都有自己的宗旨和使命。虽然并非所有这些国家机构都具有网络功能,但了解每个国家机构将为网络使用方式的“大局”行动提供更大的背景,并使朝鲜管理机构的其他部门受益。
-
朝鲜内阁(又名“内阁”)——“国家权力的行政和执行机构,也是国家总体行政机关”。
-
国家安全部 - 国家安全部(MSS)负责反情报服务,并直接向最高领导人报告。国家安全机构还开展秘密警察行动/行动,并为朝鲜境内集中营的管理提供便利。根据“人权理事会”的说法,朝鲜应对侵犯人权行为负责。该报告称,国家安全部应对侵权行为负责,包括“酷刑、处决、强迫失踪和政治犯集中营”。
-
国防部(又名“人民武装部”)——负责“与外国军队和国防部分配物资和人力资源、行政和外交”。它还为朝鲜的军事设施提供食品、医疗和结构管理。
-
社会保障部(又名“人民安全部”) - 社会保障部是负责保护和监管朝鲜政府设施,边界和海岸线的组织。然而,它最重要的作用是利用“当地线人”在朝鲜各地的村庄和城镇社会社区内进行间谍活动,以监视自己的公民。当该部发现密谋反对该政权的公民或团体时,它会采取行动使个人保持沉默并消灭他们。在某些情况下,如果被视为政治威胁,社会保障部会将罪犯移交给国家安全部。
-
朝鲜人民军(KPA) 朝鲜军队的管理机构。人民军分为五个部分:地面部队、海军、空军、战略火箭部队和特种作战部队。尽管朝鲜人民军的名称中带有“军队”一词,但它是北朝鲜的武装部队,包括其所有军事部门。
-
总参谋部 - 朝鲜总参谋部(GSD)监督(北)朝鲜人民军(KPA)内的所有下属组织。GSD提供指导和管理服务分支机构,包括负责网络战和网络盗窃行动的分支机构。GSD提供领导,规定战略,并为每个下属局/局/办公室设定目标。这些组织中最着名的是侦察总局(RGB)。
侦查总局(RGB)
RGB以前被称为586部队,是位于朝鲜平壤的朝鲜首屈一指的军事情报机构。2009年,朝鲜领导层通过将行动局,办公室35和侦察局合并为一个中央实体来创建RGB,作为大规模重组的一部分。RGB开展网络战行动,并雇用了近7,000名训练有素的黑客进行间谍和金融盗窃行动。RGB结构包括几个网络战单位,如下图2所示。
2020年年中,朝鲜任命了RGB的新领导层,作为旨在加强“工人党对RGB的指挥链”的人员改革的一部分。被安排在关键RGB领导角色的新人员是“30岁出头到30多岁”的年轻,技术技能更强的男性。许多人是“信息技术专家”,他们毕业于朝鲜顶尖技术大学,如“金日成大学,金泽工业大学和米林大学(指挥自动化大学)”。以前的领导人自愿进入不太相关、过时的角色,例如管理设备和供应分配单位。在新的领导下,朝鲜希望提高其利用其网络资产窃取情报和外币的能力。
时间将证明青年和技术是否会进一步增强RGB的能力。然而,最近的人员洗牌并不是因为RGB缺乏成功或技术能力。接下来,将讨论组成RGB的下属单位及其使命。
部队121
部队121,也被称为网络战制导单位,是RGB的精英网络单位。121部队负责监督其他几个军事单位,包括180部队,部队91,实验室110及其下属组织。121部队进行网络攻击,以破坏,拒绝服务和窃取外国信息。
然而,在2015年左右,121部队修改了其目标,缩小了其运营范围,专门针对黑客活动,除了传统的网络间谍活动外,还旨在破坏敌对国家的关键基础设施,如天然气,电力,运输,航空等。它的许多成员都是从平壤自动化大学挑选出来的,并享受住房,食物等特权待遇,以及为自己和家人提供更高的工资。
尽管听起来很奇怪,但其总部位于朝鲜平壤,但121部队的服务人员在中国沈阳的Chilbosan酒店附属餐厅的地下室里工作。该酒店容纳了朝鲜黑客,他们训练并用它来掩盖他们的网络行动。该酒店是两国的合资企业。除了客房服务外,奇尔博山酒店还为朝鲜的121部队提供他们在本国无法获得的培训。这就是121部队服务成员学习新的黑客技能/技术并进行网络战行动的方式。
部队91
部队91,也称为91号办公室,位于纳戈尔诺-卡拉巴赫平壤的Mangkyungdae区,“是黑客行动的总部”。作为其“总部”标志的一部分,91部队向110实验室及其下属单位提供设备和任务必需品。然而,采购对朝鲜来说是一个问题,因为制裁阻碍了国际贸易,包括进出口货物。尽管如此,这并没有阻止朝鲜获得必要的任务必要设备,以促进其通过俄罗斯和中国的网络行动。
例如,91部队非法与外国供应商开展业务,以逃避制裁。由于供应商不能合法地将其产品出售给朝鲜,91部队在中国,马来西亚和俄罗斯建立了空壳公司,以购买支持其网络战任务所需的基本设备。此外,91部队进行黑市采购,以进一步满足他们的需求。
除了作为总部单位外,91部队还在支持RGB方面发挥着重要的行动作用。具体而言,91部队还开展网络间谍活动,旨在窃取用于发展核武器的技术。此前,该部门对韩国的水电和核电组织进行了网络攻击。
实验室 110(Lab110)
Lab 110也被称为“第110研究中心”和“技术侦察队”,是朝鲜网络战计划的另一个部门。Lab 110 负责破坏攻击,涉及破坏性的雨刷恶意软件、针对韩国各地媒体和金融机构的拒绝服务攻击。此外,Lab 110此前曾对全球银行进行过金融攻击。其中最引人注目的攻击之一是DarkSeoul运动,该活动在2013年摧毁了数千个金融系统,并导致韩国三大电视/媒体公司中断。Lab 110还对韩国陆军进行了几次高调的攻击,并窃取了“机密防御战略计划”,详细说明了对朝鲜攻击的反应和防御。Lab 110在后来的一次行动中渗透到韩国第三军总部的作战网络中,并窃取了化学防御/应对相关文件。
据美国政府称,Lab 110也是旨在破坏SWIFT消息传递系统的金融攻击的幕后黑手。SWIFT 为金融交易报文提供便利,例如对未决交易的批准和拒绝。攻击者将渗透到机构中,并保持长达一年的存在,以观察和学习与金融交易相关的银行流程和系统。然后, Lab 110 将使用自定义恶意软件来破坏机构的本地 SWIFT 实例,并批准欺诈易请求。
其中最引人注目的袭击发生在2016年针对孟加拉国银行。在那次攻击中, Lab 110 黑客在欺诈易请求中犯了拼写错误,导致其被发现。尽管如此,攻击者最初还是用银行的8100万美元资金获利,尽管它后来在到达最终目的地之前收回了一些在途资金。
除了这些攻击之外,Lab 110还负责发现零日漏洞并开发RGB内其他单位在操作中使用的恶意软件。虽然总部设在平壤,但Lab 110通过位于中国和俄罗斯的空壳公司为其部分业务提供便利,旨在允许其人员在朝鲜境外工作,为其运营提供掩护。
与大多数RGB董事会不同,Lab 110似乎有多个动机(破坏,经济利益,间谍活动等)。
Lab 110 有三个自己的下属单元:
Office 98、
Office 414
Office 35
这些单元支持并执行归因于 Lab 110 的一些操作。如果不了解报告单位及其任务,可能会产生误导。接下来将讨论这些下属单位。
Office 414 和 Office 128
在发展强大的网络战能力之前,朝鲜的大部分情报都是从人类来源获得的。届时,朝鲜将派遣间谍居住在目标国家内,使用虚假身份收集或窃取信息并向政权报告。如今,该政权严重依赖网络间谍活动来提供情报收集能力。作为 Lab 110 的下属机构,Office 414 的作用是提供“有关海外政府机构、公共机构和私营公司的信息”。为了实现这一目标,Office 414开发了间谍网络和程序来支持RGB任务。
此外,414办公室还直接与另一个名为联络办公室128的朝鲜军事组织合作,该组织利用黑客资源来破坏外国情报部门。同样值得注意的是,关于414办公室和联络办公室128发挥的作用程度存在信息差距。从历史上看,在朝鲜,联络处更注重反情报,并与其他朝鲜单位发展并保持秘密沟通。然而,这与围绕联络处的现有资料不符。相反,414办公室和联络办公室128似乎在RGB内都有更大的进攻任务。
Office 98
脱北者提供了有关北韩政权及其军事和政府结构的宝贵信息。例如,我们今天所知道的有关朝鲜网络项目的大部分信息都来自前朝鲜大学教授金兴光教授。这些信息使外部国家能够更好地了解朝鲜及其行动。因此,朝鲜创建了98号办公室,负责收集信息,访问和监视朝鲜叛逃者,包括协助他们的外国组织/机构。98号办公室依赖于进行类似于RGB下其他单位的网络间谍行动;然而,他们特别关注与叛逃者相关的目标。
三楼办公室(中央委员会大楼)
三个办公室/单位共享平壤KWP中央委员会办公大楼的三楼,称为“三楼办公室”。奇怪的是,在成立之初,这些部队还没有正式的名字。取而代之的是,每个房间都由其运营的房间号(35,38和39室)来表示。随着时间的推移,三楼办公室正式调整了他们的房间号作为他们的军事单位/办公室名称。今天,这些单位不向政权内的同一部门报告,但在资助政权的军事/政府计划和金氏家族本身方面发挥作用。多年来,各主管局一直合作,直到2009年进行了几次重组中的第一次。接下来,我们将讨论每个主管局及其作用。
Office35
35号办公室,即外部调查和情报部,负责情报的收集和分析。但是,与RGB的其他组件不同,Office 35收集信息以生成内部简报和报告,以通知和建议政权内的高级领导层。其使命主要集中在韩国,美国,日本和欧洲的几个国家。根据朝鲜叛逃者提供的信息,Office 35为一个小型但复杂而有效的黑客组织提供支持,该组织开发恶意软件和黑客工具,以获取有关其用于构建情报报告的目标的信息。除了从黑客活动中获得的信息外,Office 35还从人类和开源手段收集信息以生成其报告。
虽然不那么普遍,但Office 35也执行受经济利益激励的操作。但是,这些攻击只占 Office 35 所见活动的一小部分。我们认为,这可能是 Office 35 的次要任务,即产生利润来支持和资助其主要任务中使用的工具和资源。
Office38
Office 38的使命是管理Kim家族的财务状况。38办公室在整个亚洲运营着涉及合法和非法业务的控股公司来实现这一目标。控股公司允许该政权获得当前制裁下禁止的商品,例如汽车,船只和娱乐设备(电视,音响,平板电脑,家具,酒精等)。这些资金和货物直接流向金氏家族,以布置房屋,并提供朝鲜原本没有的奢侈品。Office 38管理的一些资金也用于朝鲜高级军事/政府成员,以表示感谢并授予领导地位。由 Office 38 管理的基金提供的礼物和生活方式有助于确保他们对 Kim 家族的忠诚度。
Office 39
Office 39成立于1974年,负责清洗政权内其他办公室获得的被盗资金。Office 39 与 Office 35 和 38 密切合作。Office 39洗钱的大部分资金来自网络盗窃,欺诈以及生产和销售非法毒品,武器,假币和其他黑市商品。Office 39还协调资金的运营结构和流动,其中大部分是通过全球各种财务资源和组织秘密清洗和分散的。例如,Office 39决定如何秘密地将货物运入和运出朝鲜,这是洗钱所必需的,以确保它逃避遵守现有限制和制裁的外国的侦查。
为此,Office 39 依靠其军舰或来自俄罗斯和中国等盟国的运输工具。此外,它还组织国有企业和犯罪企业,以确保其运营的成功。最后,一旦成功洗钱,Office 39就会根据朝鲜领导层的预算决定实施资金的财务分配。截至2019年,Office 39每年管理和清洗约10亿美元的被盗资金。
180部队
180部队是负责偷钱的主要机构。该组织针对外国金融机构开展网络行动。朝鲜利用180部队战役的收入为朝鲜的军事行动提供资金,包括核武器化。与其他RGB组件一样,Unit 180利用其技术大学的毕业生来填充其队伍,他们经常在朝鲜边境之外运作,以规避其有限的互联网资源。例如,在美国政府名为FASTCash的一项行动中,180部队入侵了亚洲和非洲的ATM,以欺诈手段从银行ATM机上窃取资金。
许多目标银行使用易受攻击的基于AIX的服务器,Unit 180利用这些服务器来引入恶意软件,该恶意软件欺诈性地批准了基于SWIFT的合法支付交换机与ATM之间的交易。除了进行网络攻击本身之外,还需要有人实际访问ATM以获取现金资金。然后,朝鲜通过一个庞大的骡子网络清洗被盗资金。这只是180部队执行行动的一个例子,但提供了对其攻击的高级规划和执行的见解。
与类似的RGB组织不同,并非所有Unit 180新兵都进行黑客攻击行动。例如,在中国丹东,180部队派遣一队男子从事合法工作,如网站和移动应用程序设计、游戏开发以及类似的基于软件的服务,为政权创造利润。无论其职能如何,由于制裁,即使是在经济上有利于朝鲜的合法工作也是非法的。因此,与121部队类似,180部队的成员必须秘密前往中国,马来西亚和俄罗斯等伙伴国家的地区。
204部队
204部队,也被称为“敌方秘密部门网络心理战”,由近100名训练有素的网络黑客组成。顾名思义,这支部队进行“网络心理战”。关于这支部队的信息很少,但根据之前的叛逃者报告,这支部队支持“亲朝鲜网站”,这些网站传播有关韩国和美国的宣传,同时强化朝鲜的观点。该部门也可能依靠社交媒体来执行其任务。
主席团 325局
2021年1月3日,朝鲜启动了325局,这是其网络队伍中的新组织。新局有别于其同类网络单位的使命。325局的唯一任务是窃取COVID-19疫苗研究和数据。该部门的创建和运营表明COVID研究对该政权的重要性。此外,与RGB下的所有其他网络单位不同,325局直接向金正恩报告。
325局在这项工作中的作用是利用网络手段渗透政府,制药和医疗组织窃取疫苗数据。一旦获得,朝鲜公共卫生部就会使用这些数据来制造疫苗和药物。如果成功,该措施允许朝鲜绕过开发和测试疫苗所需的时间和资本。此外,朝鲜将不再需要依赖中国向他们提供与COVID相关的疫苗和药物。
此外,金正恩的妹妹金与正(Kim Yo-Jong)负责监督朝鲜医学科学和健康相关组织的该政权的非网络努力,并向“最高领导人”更新。据专注于朝鲜的新闻/媒体《每日NK》报道,“朝鲜中央委员会最近命令公共卫生部和外交部将所有能力集中在确保疫苗上,即使这意味着搁置其他活动。
时间会证明325局是否成功。也不知道325局是否依靠现有单位的工具,恶意软件和经验丰富的人员来完成其任务,或者它是否开发和使用独立的网络间谍资源。基于325局的优先次序和监督,相信顶级黑客和资源将从RGB内的其他局/单位转移,以使其跟上速度并使其尽快有效运营。
国外支持
中国略
俄罗斯
俄罗斯为朝鲜提供了第二个互联网接入点。这种访问消除了单点故障和依赖中国的风险。这种资源非常重要,因为中国可以完全控制该政权在没有它的情况下进入数字世界其他部分。俄罗斯还向朝鲜提供军事技术和武器,如无人机(UAV)和各种导弹相关技术。例如,朝鲜依靠俄罗斯的卫星导航系统来发射和控制弹道导弹的轨道。没有它,该政权将不得不依赖美国的GPS技术和网络,允许美国政府阻碍甚至破坏该政权的计划。
此外,俄罗斯和朝鲜还讨论了共同建设一条通过朝鲜的天然气管道。俄罗斯可以通过向韩国供应天然气来利用这条管道产生数十亿美元的利润。此外,在2015年,俄罗斯和该政权讨论了通过朝鲜建立电网的问题。虽然朝鲜将从这两项努力中分享利润,但由于与朝鲜的长期冲突,韩国是否会欢迎这些资源,这是值得怀疑的。这可能就是为什么这两项努力都没有取得成果的原因。
网络技术评估
除了朝鲜手机,该政权还拥有自己的操作系统,供政府和军方使用,称为红星操作系统。
操作系统(红星)
Red Star OS(又名Pulgunbyol)是由朝鲜技术研究中心韩国计算机中心(KCC)创建的操作系统。KCC在2008年创建了版本1,并通过版本4逐步更新,并于2019年1月开始使用。Red Star OS基于Linux,尽管第一个版本在视觉上模仿了Windows XP,后来的版本看起来类似于Apple的OSX操作系统。
KCC还创建了一个自定义浏览器来遍历互联网,称为Naenara,基于开源Firefox代码构建。该浏览器配置为使用“Sam heug”,这是朝鲜使用Chromium开源代码开发的搜索引擎。通过使用自己的内联网、操作系统和搜索引擎,朝鲜在其数据与世界其他地区之间增加了几层安全保障。这提供了额外的保障措施,以帮助将外国情报机构拒之门外;然而,这也限制了朝鲜获取全球互联网提供的资源。
这里获得了Red Star OS的副本,以便在为本报告进行研究时进行探索。下图显示了Red Star OS登录页面,桌面和Naenara浏览器:
互联网
朝鲜的互联网接入受到限制,仅适用于官方政府/军事企业和一些高级领导官员。由于互联网接入有限,朝鲜创建了自己的内联网,称为“光明”,除了少数例外,它与全球互联网断开连接。朝鲜的内联网允许该政权使用国家控制的私人网站和国内可用的资源。这听起来可能有限,但使用内联网网络可以让该政权共享资源并控制朝鲜境内可用的内容。光明内联网还使外国对手难以访问或破坏其连接,因为它不依赖于外部互联网接入。
除了光明内联网之外,朝鲜还利用其他三个IP地址范围来允许其基础设施访问全球互联网。
空壳公司
提到朝鲜使用空壳公司来掩盖用于促进其网络战能力的行动。在下面将找到在对本报告进行研究时确定的空壳公司的名称。朝鲜利用以下组织从事非法业务,以规避对该政权的制裁:
-
朝鲜世博会合资公司
-
5月18日 贸易公司
-
美凤综合贸易公司
-
乌尼亚贸易公司
-
萨姆乔利综合贸易公司
-
Unpyol General Trading Corporation
-
昆农综合贸易公司
-
塞拉斯贸易专业版
-
杨班公司
-
明正国际贸易有限公司
结论
由于多年的严格制裁,朝鲜是世界上最贫穷的国家之一。虽然大部分人口正在挨饿,但其政府创建了当今最成功和最危险的网络军队之一。该政权掌握了从无到有的东西,并继续击败制裁,更接近成为全球核大国。对于一个拥有互联网连接的国家来说,这是一项巨大的成就。此外,在2014年之前,网络安全界的许多人错误地评估了朝鲜提出的准确威胁水平。
虽然美国国防界至少自2009年以来一直在大力跟踪和防御朝鲜,但直到2014年索尼影视娱乐公司的毁灭才引起美国企业的注意。然而,如果索尼的攻击还不够,那么2017年的WannaCry攻击肯定会让该政权成为全球大多数组织的雷达。今天,除了索尼和WannaCry之外,朝鲜最出名的是进行金融攻击。
有媒体评估称,朝鲜将继续进行金融攻击,并将其资源大量集中在加密货币盗窃上。虽然朝鲜拥有精心设计的基于SWIFT的银行和ATM攻击组合,但最近的攻击活动表明该政权对加密货币的兴趣日益浓厚。此外,加密货币更难以跟踪,更容易洗钱,这使得它比传统货币更具吸引力。该政权将继续使用被盗收益来补充制裁造成的经济损失,并为其核武器计划提供资金。
虽然认为金融攻击是朝鲜的主要动机,但间谍活动,特别是针对健康和COVID-9相关目标的间谍活动,不仅会继续,而且可能会增加。今天,朝鲜没有资源或技术诀窍来研究或开发先进的药物。因此,COVID研究极有可能继续成为该制度的主要优先事项。朝鲜将继续投入资源和资金用于旨在窃取与COVID-9相关的研究和数据的网络行动。
完整智库报告《朝鲜:2022年情报评估》已上传至情报学院知识星球
长按识别下方二维码加入知识星球APP下载
往期推荐
点个赞,证明你还爱我
原文始发于微信公众号(情报分析师):朝鲜:2022年情报评估
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论