摘要:2024年12月,加拿大全球事务研究所发布《以网络防御合作威慑朝鲜》报告,指出朝鲜的网络行动对国际社会构成重大威胁,并且仍然是一个不断演变的问题。报告回顾了近十年间朝鲜的网络行动,概述了韩国对朝鲜网络行动的反应,阐述了加拿大与韩国的网络安全合作,并就如何遏制朝
摘要
2024年12月,加拿大全球事务研究所发布《以网络防御合作威慑朝鲜》报告,指出朝鲜的网络行动对国际社会构成重大威胁,并且仍然是一个不断演变的问题。报告回顾了近十年间朝鲜的网络行动,概述了韩国对朝鲜网络行动的反应,阐述了加拿大与韩国的网络安全合作,并就如何遏制朝鲜网络攻击提出了建议,进一步强调网络行动的全球性意味着各国需要通过建立信息共享的正式框架、进行联合网络演习以及协调应对措施来加强合作,以提高网络弹性。
论文结构
0引言
1朝鲜的网络计划
1.1朝鲜的网络行动
1.2朝鲜网络计划的组织和范围
2韩国对朝鲜网络行动的回应
2.12024年国家网络安全战略
2.2加强与盟友的网络安全合作
3加拿大与韩国网络安全合作的途径
4建议
5结语
0引言
朝鲜的网络项目和能力在很大程度上不为世界所知。然而,其不恰当地使用网络行动对全球经济和国际安全产生了重大影响。大量报告和专家分析表明,朝鲜政府投入了大量资源来发展其网络能力,并一直在采用日益复杂的战术来攻击其对手。正如一位网络安全专家所指出的那样,对朝鲜来说,“网络战以核武器无法做到的方式创造了公平的全球竞争环境”“黑客与核武器的风险回报计算截然不同。”因此,朝鲜能够通过网络行动以更少的资源和风险获得更大的回报。
朝鲜出于各种原因进行网络行动,包括间谍活动、情报收集、报复、胁迫和经济利益。根据韩国国家情报局2013年的简报,朝鲜领导人金正恩表示,“网络战能力是与核武器和导弹共同保障我军打击能力的尚方宝剑”。作为朝鲜网络行动的主要目标,韩国必须与其盟友密切合作以应对这些威胁。加拿大已将网络安全合作确定为其印太战略的关键组成部分,在加强地区网络安全和应对恶意行为方面有着共同利益。鉴于长期的伙伴关系,加拿大和韩国在深化网络安全合作方面有着巨大的潜力。
1朝鲜的网络计划
1.1朝鲜的网络行动
在过去十年中,朝鲜大幅扩大了其网络行动,网络行动已成为其主要外汇收入的来源之一。被认为代表朝鲜政权运作的“拉撒路集团”(Lazarus Group)和“金秀姬”(Kimsuky)等高级持续性威胁(Advanced Persistent Threat,APT)已经对韩国乃至全球的数字基础设施发动了攻击。他们的目标不仅包括政府机构,还包括国家基础设施、国防和航空航天工业、信息技术公司以及金融服务。
网络行动对朝鲜有吸引力有几个原因。首先,它们更难归咎于某一特定当事方,这使朝鲜政权有机会在一定程度上逍遥法外,并否认有任何参与。其次,网络行动在和平时期和战争时期都可以随时使用,实现传统军事武器无法达到的效果。最后,网络行动的执行成本相对较低,不像导弹和核武器,其可以不依赖于采购专门的军事装备,使得它们更具吸引力。
2014年11月,朝鲜被指与索尼影视娱乐公司遭受的网络攻击有关,从而在国际舞台上成为一个引人注目的网络行为体。这一事件给索尼造成了重大损失,使其信息技术系统瘫痪、数据被破坏,内部电子邮件和文件被泄露给公众。尽管没有确凿证据,但这似乎是朝鲜对电影《采访》上映的报复。这部电影描述了朝鲜领导人金正恩被虚构暗杀的故事。朝鲜外交部称这是“最公然的恐怖主义和战争行为”,并威胁说,如果美国政府允许放映这部电影,将采取“无情的反制措施”。朝鲜否认参与了这次攻击,但称赞黑客做了“一件正义的事情”。
朝鲜的网络行动似乎越来越受到经济动机的驱使。2017年5月,被称为“WannaCry”的勒索软件感染了150多个国家的数十万台计算机,限制了用户对其系统的访问,直到支付赎金才能解锁。这次攻击对全球的医院、学校、银行和企业造成了严重破坏。受影响最严重的是英国国家医疗服务体系,预约被取消,手术被推迟,一些医院甚至不得不将救护车转移到其他设施。人们普遍认为,朝鲜是“WannaCry”攻击的幕后黑手。
加密货币缺乏监管这一情况也给朝鲜带来了机会。正如时任美国国家安全事务助理总检察长约翰·C·德默斯在2021年2月所描述的那样,“朝鲜特工使用键盘而非枪支,窃取加密货币数字钱包而非成袋现金,堪称世界头号银行劫匪。”朝鲜迄今最大规模的加密货币盗窃案发生在2022年,当时“拉撒路”组织以一份虚假的工作邀约欺骗了区块链游戏公司天迈(Sky Mavis)的一名员工。借此,他们得以侵入内部系统,并从热门游戏《Axie Infinity》和“浪人”(Ronin)网络中窃取了6.25亿美元。除了这起特定的攻击事件,据报道,“拉撒路”组织在2022年7月至2023年7月期间窃取了将近9亿美元。这些被盗取的资金使得平壤能够继续为其核武器及大规模杀伤性武器项目的发展提供资金支持,这是国际社会特别关注的问题。
1.2朝鲜网络计划的组织和范围
由于获取渠道有限以及信息不足,很难知晓朝鲜网络计划的确切组织结构。然而,大多数消息来源都认为来自军事情报机构侦察总局,尤其121局是主要参与者。在侦察总局内部似乎也存在分工。例如,据报道,325局的成立是为了从韩国和国际制药公司窃取与新冠疫情以及疫苗开发技术相关的信息。
朝鲜网络部队的规模估计有7 000名活跃黑客。政府会识别有天赋的学生,并让他们在专门的高中和大学对其进行培养。在某些情况下,他们会被派往俄罗斯等国接受进一步培训,然后再返回加入朝鲜的网络部队。由于普通民众的互联网接入受到严格限制,该政权能够对其进行全面监控,并将其情报工作引向外部目标。
2韩国对朝鲜网络行动的回应
2.12024年国家网络安全战略
几十年来,韩国一直疑似朝鲜网络行动的主要受害者。据韩国国家情报院称,2023年,仅仅朝鲜一个国家,就占据全球针对韩国系统入侵企图网络行动总量的80%,比上一年增长了36%。朝鲜黑客经常瞄准韩国关键政府机构,如国防部和参谋长联席会议以及媒体机构,以破坏服务并收集情报。2016年,他们从韩国承包商那里窃取了超过40 000份与国防相关的文件,包括F-16战斗机和无人机的机密文件。2023年8月,一个名为 Kimsuky(“金秀姬”)的朝鲜APT 组织试图入侵韩国承包商的电子邮件,以破坏美韩联合军事演习。2024年,“金秀姬”还在韩国大学和智库安装了钓鱼服务器,进行间谍活动,窃取教授和研究人员的个人信息。
尽管韩国拥有先进的网络能力,但历史上一直采取防御姿态,被动地使用其能力。然而,为了应对来自朝鲜日益增长的网络威胁,韩国政府最近声明了更为激进的立场。2024年2月,韩国发布了修订后的《国家网络安全战略》,以适应不断变化的网络环境并扩大其战略范围。该战略包括5项主要任务:一是加强进攻性网络防御活动;二是建立全球网络合作框架;三是增强关键基础设施的网络弹性;四是在关键和新兴技术中确保竞争优势;五是强化运营基础。与2019年的《国家网络安全战略》相比,一个重大变化是将国际和国家支持的黑客组织视为主要国家安全威胁。该战略确定了严重威胁,如先进技术和加密资产被盗、假新闻传播、选举干预、关键基础设施瘫痪及勒索软件攻击。新战略的另一个重要特点是明确将朝鲜列为韩国网络的最大威胁。
2.2加强与盟友的网络安全合作
韩国正在积极扩大网络安全方面的国际合作。2022年5月,韩国成为第一个加入北约合作网络防御卓越中心(Cooperative Cyber DefenceCentre of Excellence,CCDCOE)的亚洲国家,该中心是2008年5月在爱沙尼亚塔林成立的一个国际网络防御组织。CCDCOE通过在网络防御领域的研究、培训和演习促进志同道合的国家之间的合作。2023年11月,韩国与英国签署了“战略网络伙伴关系”,以加强在网络领域的合作。这种伙伴关系包括信息共享、网络技术的联合开发及行业伙伴关系。此外,韩国、美国和日本同意加强针对朝鲜的网络合作,并宣布建立一个高级别的网络咨询小组。特别是,韩国和美国之间的双边网络合作取得了重大进展。2022年8月,韩国网络作战司令部与美国网络司令部签署了一份谅解备忘录。2022年10月,韩国首次参加了美国网络司令部旨在提高与盟友的准备状态和互操作性的年度军事演习“网络旗帜”。2023年4月,在韩美首脑峰会期间,两国建立了“韩美战略网络安全合作框架”,将韩美同盟扩展到网络空间领域。此外,韩国和美国定期举行工作组会议,以应对朝鲜通过网络行动和加密货币盗窃为其核计划和导弹发展计划获取资金的企图。2024年9月,两国在首尔召开第七次工作组会议,由美国朝鲜事务副特别代表贝利和韩国外交部朝鲜半岛事务总干事牵头。
3加拿大与韩国网络安全合作的途径
朝鲜的网络行动并不像俄罗斯等国家对加拿大构成直接威胁。然而,正如《2025—2026年国家网络威胁评估》中所概述的那样,朝鲜政权的活动“肯定会对加拿大的组织和个人构成持续且资源充足的网络犯罪威胁”。例如,2018年1月,加拿大安大略省交通机构 Metrolinx报告称,其计算机受到通过俄罗斯路由的朝鲜病毒攻击。此外,美国安全公司思科Talos的一份报告显示,Lazarus集团在 2022年2月至7月期间攻击了加拿大、美国和日本的能源供应商。
作为印太战略的一部分,加拿大宣布了网络安全和数字技术外交项目,该项目将在5年(2022—2027年)内拨款4 740万美元,以通过部署网络专员来增强伙伴国家的网络能力并促进区域合作。例如,2024年12月,加拿大公司OpenText在菲律宾开设了其首个全球创新中心,该中心每月有能力监测和评估超过3 000亿次的全球网络威胁。此外,2024年9月,加拿大武装部队成立了网络司令部,该司令部将负责加强网络行动并加强与盟友的网络合作。这些措施加强了加拿大与印度-太平洋国家之间的伙伴关系。
加拿大和韩国也加强了国防合作,印太战略强调网络安全是与韩国合作的关键领域。2024年9月,加拿大国防部长比尔·布莱尔在对韩国进行正式访问期间,重申了加拿大致力于维护朝鲜半岛及整个印太地区安全的承诺。2024年11月,首届加拿大-韩国外交与国防(2+2)部长级会议在渥太华举行,进一步强化了这一承诺。在此次会议上,两国认识到混合威胁和数字威胁带来的日益严峻的挑战,并承诺扩大共同努力以应对这些挑战。他们还同意举行加拿大和韩国网络政策磋商。在此基础上,加拿大和韩国之间的网络安全伙伴关系有望进一步发展。
4建议
朝鲜的网络行动对国际社会构成重大威胁,并且仍然是一个不断演变的问题。印太地区的国家越来越认识到加强网络安全合作以应对朝鲜网络行动的重要性。这个问题也是加拿大全球事务部、大韩民国大使馆、美利坚合众国大使馆和日本大使馆于2024年10月23日共同主办的2024年朝鲜半岛研讨会讨论的重点议题之一。2024年,座谈会期间,各方承认朝鲜构成的网络威胁日益严重,并承诺深化合作应对这些挑战。
网络行动的全球性意味着各国需要通过建立信息共享的正式框架、进行联合网络演习、协调应对措施来加强合作,以提高网络弹性。例如,2024年12月,澳大利亚网络安全中心与美国网络安全和基础设施安全局、加拿大网络安全中心、英国国家网络安全中心、新西兰国家网络安全中心和韩国国家网络安全中心5个主要合作伙伴合作,联合发布《关于选择安全和可验证技术的执行指南》。
5结语
作为朝鲜网络行动的主要目标,韩国应积极寻求与主要盟友的合作,以增强其网络弹性。在与美国举行工作组会议的基础上,韩国可以将这一框架扩大到包括印度-太平洋地区志同道合的伙伴,如加拿大、日本和澳大利亚,以促进更广泛的区域合作。这种多边方法不仅可以加强区域网络安全,还可以建立一个反对恶意网络活动的统一战线,确保更大的稳定性和威慑力。此外,韩国与朝鲜的共同语言和文化相似性为追踪朝鲜的网络间谍活动和欺骗战术提供了独特优势。因此,韩国可以作为国际合作对抗朝鲜网络行动的信息共享枢纽。
作者简介
加拿大全球事务研究所(CanadianGlobalAffairs Institute,CGAI):是加拿大国防与外交事务研究所的继承者,致力于让加拿大人了解重大利益核心地区拥有受尊重和有影响力的声音的重要性,主要包括全球贸易和投资、加拿大人口起源、地理安全(特别是与美国一起确保北美的安全)、社会发展或盟国的和平与自由等。该研究所的创立是为了弥补加拿大人需要了解的加拿大国际活动与他们实际了解的内容之间的差距。
“海外报告”栏目针对国际重点报告原文进行摘译、编译,旨在帮助读者了解网信领域国际发展形势及最新动态,内容仅代表原文作者见解,不代表本编辑部立场和观点,仅供学术交流使用。所刊内容如涉及版权问题,请联系本编辑部。
来源:信息安全与通信保密
