Recorded Future报告：2019年朝鲜互联网使用变化状况

朝鲜互联网的最明显特点就是封闭，普通民众不能直接连入国际互联网，只能访问朝鲜的内部网络——“光明网”，只有朝鲜精英阶层才能通过有限的资源访问国际互联网。美国威胁情报公司“记录未来”（Recorded Future）2月9日发布最新研究报告《朝鲜如何将互联网转化为流氓政权的工具》，通过分析2019年1月至12月的第三方数据、IP地址、BGP路由表、网络流量和公开情报，调查了朝鲜高层互联网活动，揭示了朝鲜互联网使用变化情况及背后原因。此外，报告还曝光，朝鲜互联网基础设施经常遭受网络攻击，部分攻击还使用了独特的CLDAP镜像DDoS增强攻击方式。本文摘录报告的主要内容，供读者参考。

报告指出，朝鲜已经发展出一个利用互联网来躲避制裁的模式。朝鲜不仅利用互联网来增加收入，还用互联网来获取违禁技术和知识（例如朝鲜核项目和弹道导弹项目），以及开展行动协调。上述模式使用3个主要战术来创造收入：互联网银行盗窃；加密货币的使用开采和区块链技术；低级信息技术工作和金融犯罪。上述模式是独特的，也是可复制的，可为其他金融孤立国提供利用互联网躲避制裁的范例，例如委内瑞拉、伊朗或叙利亚。

报告得出以下六项判断：

一是朝鲜的互联网使用活动自 2017 年以来增加了 300%，原因有许多因素，包括使用俄罗斯路由的TransTelekom基础设施、使用了一些朝鲜此前未解析的IP空间以及创建新的电邮、FTP和DNS域名服务器来支撑流量增加。

图1：“记录未来”研究人员发现2017年以来朝鲜互联网活动增加300%

图2：朝鲜通过俄罗斯和中国电信公司接入互联网

二是持续互联网日常使用模式和内容转换显示，互联网已经成为朝鲜高层的专用工具。朝鲜高层目前在平常工作时间使用互联网，而2017年互联网活动则集中在周末的下午和晚上。

图3：2019年1月至10月间小时计（非平均）日常互联网使用情况

图4：2018年3月至8月间小时计日常互联网使用情况

图5：2019年1月至10月间周期日计（非平均）日常互联网使用情况

图6：2018年3月至8月间周期日计（非平均）日常互联网使用情况

三是综合互联网活动增加、互联网容量和带宽增强、之前未解析的IP空间使用等情况判断，互联网不再简单地被朝鲜高层用来休闲娱乐，而是成为其关键工具。

四是朝鲜利用DNS建立了特有的VPN，该VPN运用了DNS信道技术，显示DNS进程并非用于域名解析，而是用于封闭网络内的数据传输和建立信道。上述技术可能被朝鲜用户用来从无防备目标网络中窃取数据，或者被用于躲避政府内容监控。

图7：朝鲜使用VPN、HTTPS和DNS信道等安全技术掩藏互联网活动

五是朝鲜政权在2019年增加4个国有保险公司的可访问性，目标可能有两个：在2017年朝鲜国家保险公司（KNIC）遭受制裁后重新利用保险欺诈增加收入；打消潜在投资者的疑虑。

图8：朝鲜近期增强了4个现存国有保险公司的互联网可访问性的原因可能是意图借保险欺诈增加收入

六是自2019年5月以来朝鲜IP范围内的门罗币（Monero）挖掘活动增加了最少10倍，相信是因为门罗币的匿名性和低处理能力要求使其较比特币（Bitcoin）更能吸引朝鲜用户。

报告还称，朝鲜互联网基础设施经常遭受DoS 或DDoS攻击。例如，2019年5月28日，承载《平壤时报》、“我的祖国”以及数个朝鲜保险公司的网站的IP地址（175.45.176.67）遭受持续1个小时的DDoS攻击，观测DNS流量峰值达550兆/秒。DNS洪水攻击是DDoS攻击最普遍方式。2019年4月底以来，还发现一种独特的DDoS攻击，即针对单一朝鲜IP地址的“协调性无连接轻量目录访问协议活动”（coordinated CLDAP activity）。

上述攻击活动发起于来自全球最少161个国家设备。利用CLDAP开展DDoS攻击要求攻击者将源IP地址转换为换为受害者IP，过程需要通过对运行CLDAP服务的公开镜像服务器发起CLDAP请求。然后欺骗地址就会欺骗镜像服务器将CLDAP回应发送给受害者，而不是请求发起方。目前还不清楚网络攻击者身份。

表1：2019年4月、5月针对朝鲜的3次CLDAP镜像DDoS增强攻击

图9：2019年4月底对朝鲜面向全球互联网基础设施开展的镜像DDoS增强攻击方式顶层图解

附：背景介绍

“记录未来”（Recorded Future）是美国马萨诸塞州一家创业企业，该企业的核心技术在于可以通过扫描并分析网站、博客、社交媒体帐户的信息来寻找目前和未来人们、组织、活动和事件之间的关联性。该公司被美国中央情报局（CIA）旗下的In-Q-Tel投资公司所投资。2019年，该公司获得美网络司令部授予的价值5000万美元最高限额的威胁情报合同。根据该合同，“记录未来”将提供商业威胁报告，以支持网络司令部指导指定的国防部信息网络（DODIN）的运营和防御的能力。（魏武）

声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。