朝鲜互联网流量分析揭示国家级犯罪集团

Recorded Future 发布了一系列针对朝鲜政要互联网使用情况的分析。该系列的最新一份报告展现了朝鲜领导层在互联网使用及利用互联网赚钱上的适用性。

朝鲜领导层的互联网使用模式发生了改变。一年前,周末是他们互联网使用高峰期,主要用于在线游戏和观看视频。去年,工作日使用增加而周末使用情况减少(虽然周末使用还是主要落在游戏和视频上)。Recorded Future 不知道为什么会发生这种转变,但猜测这表现出互联网在朝鲜领导层日常工作中的比重正在加大。

与互联网使用模式转变同时发生的,是朝鲜新互联网通信局总部在平壤的建设。Recorded Future 表示,使用模式的改变和新总部的落成,预示着朝鲜最高领导层互联网使用的专业化。这可能意味着,与出于娱乐目的不同,朝鲜领导层可能正将互联网使用融入其工作当中。

值得注意的是,早期的安全浏览操作(Tor、VPN等工具的使用)已明显变少。报告指出,之前的安全浏览高峰可能是因为内部政策要求,而随着时间流逝,其在时间、金钱和可达性上的损失开始超出所获得的安全收益,于是安全浏览潮渐渐消退。

从西方社交媒体到中国同类应用的迁移,比如百度、阿里巴巴、腾讯等,最初是在2017年底开始的。这一趋势保持不变,只除了领英(LinkedIn)——该应用的使用逆势上升。

众所周知,加密货币是朝鲜某种形式上的外汇。朝鲜犯罪分子被认为是近年来多起加密货币交易所袭击的背后黑手。如今,Recorded Future 认为这一臭名昭著的流氓国家还涉嫌至少两起加密货币诈骗。

第一起涉及代币HOLD。2018年初该代币还处在“下注”阶段,用户挖掘出初始代币,但不允许交易。该阶段的目的是培养兴趣、价值和用户基础。但这是一个有风险的过程,因为开发者控制着整个下注时间框架,可以限制交易。

2018年间,HOLD币在一系列交易所上市和退市,经历了品牌再造,改名为HUZU,以致如今令它的投资者陷入了困境。我们不太确定朝鲜用户是否参与了Interstellar/Stellar/HOLD/HUZU代币的一系列动作。

第二起诈骗 Recorded Future 几乎可以确信就是朝鲜干的,涉及名为“海洋链平台( Marine Chain Platform )”的区块链应用。Recorded Future 表示,2018年4月和5月,海洋链网站域名指向的IP地址与托管着 Binary Tilt 的是同一个。而 Binary Tilt 已被加拿大安大略省政府宣布为欺诈网站。数十位用户贴出了被该网站骗走数万到数十万美元的证词。

Recorded Future 追踪海洋链的连接,查到了朝鲜头上。尤其是海洋链的CEO丰船长,更是与自2013年起便协助朝鲜规避制裁的新加坡公司有关。

丰船长是协助朝鲜规避国际制裁的保护网的一部分。这些连向海洋链平台的连接,标志着该巨大而非法的网络已经开始利用加密货币或区块链技术来为金氏王朝筹集资金。

Recorded Future 开发出的启发式分析法曾通过分析朝鲜与其他国家间的互联网流量,识别出八个国家有朝鲜人定居或生活:印度、中国、尼泊尔、肯尼亚、莫桑比克、印度尼西亚、泰国和孟加拉。该启发式分析法经改进后帮助 Recorded Future 更深层次地理解了来自中国和印度的数据。

分析发现,大量网络活动涉及北京、上海和沈阳地区,还有南昌,武汉和广州。该方法还使 Recorded Future 一定程度上确信有七所中国大学容纳过朝鲜学生、老师或合作伙伴。

在印度,Recorded Future 检测到涉及德里、班加罗尔、加尔各答和海得拉巴的大量活动。印度气象部和国家遥感中心的数据流量也很可疑,但该公司没能确定其恶意性。

该启发式分析还发现了与已知朝鲜非法金融或物流网络的流量交汇,但并不是与俄罗斯交汇。朝鲜与俄罗斯的网络互动仅占其与中国之间网络互动的0.5%。Recorded Future 援引了非营利性组织C4ADS今年8月发布的一份报告。该报告称,朝鲜海外劳动力中80%之多被派驻中国和俄罗斯。也就是说,在俄罗斯生活和工作的朝鲜人比两国之间的网络流量反应出来的要多得多。

C4ADS还提到,有评估认为,朝鲜劳动者每年为金氏家族赚取12到23亿美元。如果评估数据真实可信,那么朝鲜劳动者每年为金氏家族赚取的钱财就相当于朝鲜2016年出口总额的93%。而且大部分工作场所都表现出强迫劳动的特征,工人们每天工作12到16个小时,并且工作所得的70%到90%都要交给他们的上级再发回朝鲜。

Recorded Future 认为朝鲜/俄罗斯和朝鲜/中国网络流量间的差异在于,前者的工作没有互联网接入的需求,而后者在信息经济中工作,为全球客户制造手机游戏、应用、机器人和其他IT产品。这种信息经济工作与剥削劳力的工作具备不一样的互联网特征,同时也阐明了物理存在与互联网活动之间的差异性。

Recorded Future 的结论是,该研究表明了朝鲜高层领导的创造性和适应力。如果新服务和新技术对他们有用,他们会快速拥抱这些新事物,而只要对他们没有好处,他们就会马上放弃。金氏王朝的互联网使用模式非常独特,朝鲜就是一个像犯罪集团一般运营的王国。

Recorded Future 报告:

https://www.recordedfuture.com/north-korea-internet-usage/

上一篇:威瑞森《2018数据泄露调查报告》的5个启示

下一篇:漏洞预警 | Gogs/Gitea 远程代码执行漏洞(CVE-2018-18925/6)