朝鮮高層：其實我們並不「孤獨」，我們可以網購、網遊、看在線視頻

近日， 開源情報公司Recorded Future旗下組織Insikt Group，針對朝鮮互聯網網路活動進行了深入分析調查，調查認為，在朝鮮只有少部分的政權精英和統治階層可以自由訪問互聯網，朝鮮高層對互聯網的使用情況並不像想像中那樣孤立封閉，相反卻是非常與時俱進和高深複雜。

調查概述

這是我們朝鮮網路調查活動系列之二，在第一部分的 「North Korea Is Not Crazy」中，我們分析認為，朝鮮發起的網路攻擊活動並不是瘋狂無理性的行為，因為與其它國家情報機構相比，朝鮮在互聯網領域開展的業務更加深入廣泛。該系列中，我們通過與威脅情報組織Cymru的合作開展了綜合分析研究，對朝鮮統治階層和國家機器對互聯網應用的計劃和意圖進行了側面披露。

我們的分析表明，朝鮮領導人和執政階層對互聯網的使用並不陌生，他們非常熱衷於訪問西方網站和社交媒體，還會經常定期瀏覽國際新聞了解時政現狀，觀看在線視頻或進行網路遊戲，完全不與國際社會脫節。通過進一步調查，我們認為：

對朝鮮統治階級實行國際社會孤立封閉的企圖是失敗的，他們多種方式的網路活動與西方並不存在差異

一系列數據表明，朝鮮通常的互聯網活動並不是軍事行動的前兆預警。朝鮮執政階層並不會直接對其網路攻擊活動進行干涉

朝鮮不會在本國內發起針對其它國家的網路攻擊活動，大多數國家級別的網路攻擊活動都發起於第三方國家

所有分析表明，在朝鮮的網路活動中存在著其它工具、技術和合作方支持，我們推斷，在朝鮮無核化道路探索中，可能還存在其它對朝政權的施壓。

背景

據韓國媒體估計，朝鮮境內僅有400多萬的移動手機終端使用量，所以在韓國移動手機非常普遍的同時，而絕大多數朝鮮人卻沒有上網的機會。出售給普通朝鮮人的手機只開啟了包括語音、簡訊、圖片視頻彩信功能的最少3G服務，並只支持朝鮮境內移動運營商Koryolink。

一小部分用戶，如大學生、科學家和政府官員，可以通過大學和網吧的普通計算機接入朝鮮國內的國營內聯網。Slate雜誌曾對朝鮮國家內網有如下描述：

該國家內網名為Kwangmyong，目前已連接到各大圖書館、高校、政府部門，並將慢慢普及到一些小康居民家庭。內網服務中包含了一些國內網站、在線學習系統和電子郵件等。其中可訪問的網站並不多樣化：大多屬於國家新聞服務、大學、政府信息技術服務中心和少數其他官方組織，好像還包括一個韓國料理的烹飪學習網站。

在有權使用國家內網的用戶中，又有少數為數不多的最高層領導和統掌權人士允許直接接入訪問全球互聯網。雖然該數目不詳，但記者估計「只是小範圍人士」、「圈內的朝鮮領導層」或「幾十個家庭「。不管確切數字，朝鮮的互聯網用戶輪廓已經非常明了，只有那些國家機器、政權高層或其可信成員和家庭成員才能自由訪問互聯網。

朝鮮政權高層訪問互聯網的三種主要方式：

首先是通過分配的.kp範圍IP 175.45.176.0/22，這些IP上託管著朝鮮全國可通過互聯網訪問的所有網站，其中包括九個頂級域名網站（如co.kp，gov.kp和edu.kp）和大約25個各種朝鮮國營媒體、旅遊和教育相關的子域名網站。

第二種方式是通過一系列由中國網通公司分配的IP範圍210.52.109.0/24，其運營網路名為「KPTC」（朝鮮電信公司），也即朝鮮唯一官方移動通信網路運營商高麗電信子公司。

第三種方式為通過一個由俄羅斯衛星公司SatGate提供的指定IP範圍77.94.35.0/24，目前IP解析指向黎巴嫩。

分析

從以上數據來看，首先：我們所說的朝鮮互聯網活動，或朝鮮統治階層對互聯網（不是國家內網）的使用是需經授權的，但從目前僅有的數據來看，朝鮮掌權人士對國家內網Kwangmyong和其它國家駐朝機構或外交網站的訪問情況，我們還不能有所了解。

其次，我們著重對2017年4月1日至7月6日時間段作了分析，原因在於該段時期屬朝鮮導彈測試和發射活動的密集時期，數據分析更能反映真實深入的網路活動。

2017年4月1日早晨，就像很多西方人剛剛起床有查看電子郵件和社交媒體的習慣一樣，一小部份朝鮮統治階層人士以同樣的方式，早起開始了新的一天。他們中有些人在訪問新華網或人民日報網，有些人在登錄自己的163.com電郵帳戶，另外一些人則在優酷上播放中文視頻，也有人在通過百度和亞馬遜進行搜索查詢。

我們對一些有限時間段內的網路數據採集分析後，對這個原本封閉的國家和其統治階層有了新的認識。我們的分析表明，為數不多可以正常訪問互聯網的朝鮮領導人和掌權人士非常活躍，他們熱衷於流行文化、國際新聞和現代服務技術的程度遠超朝鮮之外的世人想像，朝鮮政權高層似乎並沒與世隔離，也對其在國際政治中的決策行徑所帶來的影響後果不無了解。

這些數據為我們描繪了2017年4月至7月期間，朝鮮互聯網的使用和活動情況。作為參考，我們能綜合形成一些獨特的見解。分析數據顯示，朝鮮執政領導和掌權人士通過接入訪問的現代網路社會，對他們在導彈測試、人權鎮壓和犯罪活動等方面國際社會非常關注的決策影響後果都能有所意識和了解，這些決策都不是大多數人認為的孤立封閉或信息不對稱原因所導致的。

朝鮮高層對互聯網的使用模式

儘管可以自由訪問互聯網的人數有限，且在語言、文化、社會和法律方面存在認知障礙和對其它國家的偏見敵意，但在互聯網使用方面，朝鮮統治階層和掌權人士與大多數西方人並無差別。

例如，與發達國家的用戶一樣，朝鮮高層人士傾向於社交媒體信息交流、搜索網頁、瀏覽亞馬遜和阿里巴巴等購物網站。雖然在2016年4月，Twitter、YouTube等新型社交網站已被朝鮮官方嚴格審查，但對朝鮮高層人士來說，Facebook仍然是他們喜歡使用的社交網站。

此外，在2017年4月至7月期間，朝鮮高層人士對互聯網的使用明顯出現異常，平日里，最頻繁的互聯網活動時間大約從上午9:00到晚上8-9點，其中，周一周二的互聯網使用活動最為頻繁。

朝鮮的互聯網活動與其導彈發射並無關聯性

許多專家學者推測，朝鮮的互聯網活動和其導彈發射試驗之間可能存在關聯，特別是在此朝鮮對導彈的試射期間，朝鮮網路空間或互聯網活動可能會出現波動。雖然我們無法感知朝鮮的惡意網路活動水平，但經我們對一些數據集的分析比較後發現，朝鮮互聯網活動和其導彈試驗發射之間並不存在相關性。

朝鮮從其它國家發起的網路攻擊活動

據我們觀察，2017年4月至7月，朝鮮未從本土發起過任何惡意網路攻擊行為，結合以往攻擊事件表明，朝鮮基本不會利用本國網路架構實施網路犯罪或針對別國的網路攻擊活動。這是金正恩政權可以利用並造成一些非對稱信息的主要方式，既限制了本國的網路自由和靈活度，又降低了實施網路攻擊帶來的後果和影響。

數據分析同時表明，朝鮮一些國家中，設置有明顯的用來發起網路犯罪和網路攻擊活動物理資產和虛擬資產，這些國家包括印度、馬來西亞、紐西蘭、尼泊爾、肯亞、莫三比克、印度尼西亞。我們認為：

朝鮮在印度設置有一定規模的物理和虛擬資產。可以從印度外交部發布的與朝鮮雙邊關係提升的文章<友誼、合作、理解>中窺見端倪

從文章中表明的朝印合作方式來看，朝鮮至少在印度7所大學和多個科研和政府機構有合作關係

2017年4月至7月間，我們觀察的朝鮮網路活動流量中有20%與印度相關

據觀察，

朝鮮與馬來西亞、尼泊爾、肯亞、莫三比克、印度尼西亞各國之間都有著大量的網路流量交互。除了從別國發起網路犯罪或攻擊活動外，這些與別國地方資源、新聞媒體和政府的網路交互明顯異常。

另據其它媒體報道，朝鮮在中國構建有實施網路攻擊的實體資產，包括在瀋陽的一座合資酒店。2017年4月至7月間，我們觀察的朝鮮網路活動流量中有10%與中國相關，不包括由中國電信公司提供接入的網路流量。

我們發現，朝鮮與中國的網路流量活動與上述提及的7國不同，主要由於流量中大部分是朝鮮高層對多家中國網站（淘寶、阿里雲和優酷等）的訪問瀏覽，這些流量中基本反映不出朝鮮是否在中國設置的物理或虛擬資產的跡象。以上網路流量活動的分析可以說明，朝鮮很有可能正計劃從多個第三方國家發起網路攻擊。

朝鮮互聯網活動中的VPN/VPS使用情況

在我們觀察期間，朝鮮有不到10%的網路流量採用了加密和安全保護機制，在這些流量中，又廣泛存在一些不合規的TLS/SSL應用和VPN/VPS數據交互。這其中的VPN和VPS都是按月付費的，可能為某個人和政府部門統一管理。雖然這些VPN/VPS都隸屬於一些知名的外國公司，如Sharktech、iWeb、Digital Ocean、Linode、Leaseweb USA、Telemax和Touch VPN等，但尚不清楚朝鮮購買這些虛擬網路服務的渠道和方式。

這些虛擬網路服務中，其中一個iPad使用的VPN賬號曾用來登錄過Gmail、 Google Cloud、Facebook和MSN，並訪問過成人網站。其它VPN和VPS則大多被用來運行Metasploit、購買比特幣、刷Twitter、玩在線遊戲、看視頻、向Dropbox上傳文檔和瀏覽亞馬遜網站。

可疑網路活動：比特幣挖礦

在我們的觀察期，朝鮮網路中出現了小部分但非常異常的可疑流量，例如5月17日進行比特幣挖礦的網路行為。在此之前，幾乎沒有與比特幣相關的網站或節點出現過，5月17日當天，其挖礦行為突然爆發，從無到日均上百次請求，更可疑的是它出現在WannaCry勒索攻擊事件後幾天。此前NSA曾認為WannaCry勒索攻擊與朝鮮偵查總局RGB相關，目的在於為金正恩政權謀取利益。目前，尚不清楚朝鮮比特幣網路挖礦行為的幕後主使，但由於朝鮮有限的地址空間，這種深度網路活動可能來自國家管理控制。

此外，在此期間，朝鮮網路用戶中曾對科研和網路偵察有所關注，並大量訪問了多個國外實驗室和研究機構。如印度太空研究組織-國家遙感中心、印度國家冶金實驗室、菲律賓科技廳先進科學技術研究院等科研機構，但這些網路流量中我們無法確認是否屬於惡意網路攻擊行為。

總結

以上數據提供了一個前所未有的，能讓我們側面洞察朝鮮高層和政權人士興趣所在的重要窗口，比如，這些高層用戶中，有使用VoIP服務進行跨國通信、利用AOL賬戶定期訪問國外新聞的，部分人則經常訪問美容保健網站，有些人經常在線購買昂貴運動鞋，和經常使用iPhones、iPad和黑莓手機進行通信。

除此之外，還有一些人每天都會花時間研究網路安全企業，這些安全企業包括卡巴斯基、賽門鐵克、McAfee和奇虎360等，甚至還包括一些如DoSarrest和Sharktech的DDoS防禦公司，其中還有個別用戶與Thuraya（舒拉亞）衛星系統公司有過交流。

經觀察的朝鮮網路流量中，有達65%的流量與遊戲和視頻流相關，這其中，大部分流量為訪問中國視頻網站優酷、iTunes和各種BitTorrent類的P2P視頻服務。在線遊戲方面，大部分朝鮮高層人士似乎對多人網遊《坦克世界》情有獨鍾。

我們對朝網路的一系列數據分析和流量觀察說明：

儘管遭受各種制裁併面臨巨大的國際壓力，但朝鮮執政階層並未處於與世隔絕狀態，他們非常活躍地融入了現代互聯網社會和國際經濟體中，當然也從某些方面說明了國際社會的對朝經濟制裁似乎並不有效徹底

除了對平壤和朝鮮本國的關注外，國際社會也應該關注朝鮮與其它國家的合作發展關係

*參考來源：recordedfuture，freebuf小編clouds編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！