美国传统基金会学者布鲁斯·克林纳撰文分析朝鲜网络攻击威胁,并就美国政府应采取的行动提出建议。

文章分析认为,朝鲜的网络武器和战术与其非对称军事战略相一致,其将网络战视为“法宝”以及“保证朝鲜军事打击能力以及核武器和导弹的万能剑”;朝鲜网络行动与其利用犯罪活动获取资金的历史相一致,是“新瓶装很旧酒”,但比过去的非法活动更有效、更具成本效益和更有利可图,已经成为朝鲜犯罪活动的主要组成部分;朝鲜拥有大量开展恶意网络行动的政府机构和附属黑客组织;朝鲜黑客擅长开发先进网络编码,并善于通过社会工程方法诱骗受害者感染计算机系统。

朝鲜网络攻击行动已经历数个发展阶段。最初,朝鲜专注于窃取信息的网络间谍活动和网络攻击,以干扰或破坏与国防、核电站、基础设施、电信、媒体和企业相关的网络。此种网络行动是一种“火力侦察”,用于测试对抗对手防御的初步能力,并可能作为用于在军事冲突或重大危机时期开展更广泛和严重危害性行动的概念验证。随着朝鲜提高其网络行动的范围、规模和先进性,其行动目标经历了几个阶段:网络恐怖主义、报复性攻击和勒索;网络银行盗窃;加密货币交易所和去中心化金融平台;制药公司。新阶段的启动并未减少之前阶段普遍存在的网络攻击,只是改变了攻击的范围和优先级。事实证明,朝鲜擅长深入渗透政府、军队、银行和国际金融交易系统以及关键基础设施目标的计算机网络,其在朝鲜半岛发生危机或敌对行动期间可能造成更大的破坏,有可能会制造一场“网络9·11”。

鉴于朝鲜网络威胁,美国需要制定综合性全政府战略,全面加强立法和执法,并确定惩罚措施,具体包括:一是评估朝鲜网络威胁并广泛发布威胁公告;二是制定全面的国家战略,利用所有国家力量工具进行综合性全政府响应;三是加强与私营部门协调以提高网络安全和网络弹性;四是吸引国际合作伙伴,在国家层面继续并扩大与外国政府、执法机构和金融监管机构的合作;五是全面执法打击朝鲜黑客以及向其提供支持的国家;六是加强对加密货币交易所的监管;七是确定美国对朝鲜网络攻击的反应,包括适当水平的报复甚至先发制人行动。

文章总结认为,朝鲜开展“网络游击战”以窃取军事机密、盗窃资金、挟持计算机系统并对计算机网络造成广泛破坏;防御朝鲜的网络攻击需要时刻保持警惕,并需要快速发展方法和技术,供执法机构用于应对平壤逃避制裁的改进策略;如果美国不做出强力回应,朝鲜将继续破坏国际制裁的有效性,并可能在危机或军事冲突中造成更大的破坏。

奇安网情局编译有关情况,供读者参考。

朝鲜网络攻击:危险且不断演变的威胁

概括

朝鲜开展“网络游击战”以窃取机密军事秘密,盗窃数十亿美元的金钱和网络货币,挟持计算机系统,并对计算机网络造成广泛破坏。防御平壤的网络攻击需要执法机构在应对其逃避制裁时必须使用的相同的持续警惕和快速发展的方法和技术。美国仅对朝鲜黑客和允许朝鲜黑客实施网络犯罪并从中洗钱的外国采取了有限行动。如果美国不做出坚定回应,朝鲜政权将继续破坏国际制裁的有效性,并可能在危机或军事冲突中造成更大的破坏。

关键要点

  • 朝鲜的网络攻击武器库破坏了国际制裁,并威胁到美国、美国盟友和国际金融体系的安全。

  • 在危机期间,平壤的网络战可能对金融、基础设施、交通、军事和政府计算机网络造成巨大影响。

  • 华盛顿需要将这一威胁视为国家优先事项,并制定与其他政府和私营部门协调的综合战略。

朝鲜的导弹和核武器引起了恐惧、国际谴责和严厉制裁。然而,尽管平壤的网络活动被反复用于针对政府、金融机构和行业的攻击,但引起的反应和惩罚较少。

专家们对朝鲜网络能力的态度最初是不屑一顾的,就像他们曾对朝鲜的核计划和导弹计划的反应一样。许多人指出东北亚著名的夜间卫星图像,其中黑暗的朝鲜被邻国的闪耀灯光所包围,不相信该技术落后政权有能力开展先进的网络攻击。

尽管如此,虽然该政权无法为其民众提供技术便利,但平壤发展出了很少国家能超越的先进网络战实力。从最初针对韩国的初级分布式拒绝服务(DDoS)攻击开始,该政权改进了其网络计划,以创建强大的全球破坏性军事、金融和间谍能力。

随着网络能力的发展,平壤实施了越来越先进的技术,并将金融目标列为优先,以逃避国际制裁并增加其核计划和导弹计划的金库。尽管近年来它似乎不再强调针对军事和基础设施目标的网络行动,但该政权此前曾暗示将在危机期间攻击盟军以信息为中心的战争战略和民用网络。

朝鲜所展示网络能力的范围和其他近期网络攻击的严重性,例如俄罗斯赞助的SolarWinds黑客攻击以及DarkSide关闭Colonial Pipeline的恶意软件,体现出政府、金融、基础设施和企业部门的持续严重漏洞。美国需要与外国政府和私营部门一起加强网络防御并对攻击做出更有力的回应。如果不这样做,朝鲜将继续破坏国际制裁的有效性,并使美国及其合作伙伴在未来面临潜在的破坏性网络攻击。

一、网络:朝鲜战略的关键组成部分

平壤开发了一套全面而先进的网络攻击工具和方法。2017年,美国高级情报官员评估称,朝鲜是能够对美国发动“干扰性或破坏性网络攻击”的四大网络威胁之一。美国中央情报局局长在2019年1月警告称,朝鲜“对金融机构构成重大网络威胁,仍然是网络间谍威胁,并保留开展破坏性网络攻击的能力。”

朝鲜的网络武器和战术与该政权的非对称军事战略是一致的。由于朝鲜的常规军事力量与美国和韩国相比有所退化,平壤开发了新武器以应对日益扩大的能力差距,包括核武器、导弹和远程火炮。

在研究了美国在伊拉克的军事行动后,朝鲜领导人金正日得出结论认为,盟军高科技战争容易受到网络攻击,“21世纪的战争将以信息战形式开展”。金正日认为“网络攻击就像原子弹”,“战争胜负取决于谁在和平时期更能获取对手的军事技术信息。”

朝鲜战略家将网络空间视为其军事战略的一个组成部分,将其与地面、空中、海上和太空一起列为“第五大战场”。到2009年,金正日宣布朝鲜“已充分为任何形式的高科技战争做好准备”。韩国国防部警告称,朝鲜能够破坏全球定位系统(GPS)网络,并正在开发干扰高科技导弹和精确制导炸弹的手段。

金正日让朝鲜开展涉足网络战,但平壤是在金正恩统治期间加速并扩大了对更广泛目标的网络攻击。据信,自2010年以来,朝鲜在仁川机场上空干扰了飞机的GPS系统;阻止在美国上映一部重要电影;入侵韩国银行、报社和核电站;并诈骗银行和网络货币交易所以获取数十亿美元。

金正恩在2013年宣称,“凭借密集的信息和通信技术,以及勇敢的侦察总局(RGB)及其网络战士,我们可以穿透任何制裁,以建设一个强大而繁荣的国家。”值得注意的是,即便如此,金正恩还是强调了网络行动的金融制裁规避方面。

金正恩称网络战是“法宝”以及“保证朝鲜人民武装力量无情打击能力以及核武器和导弹的万能剑”。在危机前夕或作为动能打击的替代方案,朝鲜政权可以对控制通信、金融和基础设施(如发电厂和电网)的政府和民用计算机网络开展网络攻击。

二、网络犯罪:新瓶装旧酒

朝鲜的网络行动不仅与其非对称军事战略相一致,而且与该政权利用犯罪活动获取资金的悠久历史相一致。早期的犯罪活动包括:伪造货币、药品和香烟;生产和贩运非法药物,包括鸦片和甲基苯丙胺;贩运濒危物种产品;保险欺诈。

网络犯罪使朝鲜政权能够获取资金并逃避国际制裁,其方式以比过去的非法活动和最近的走私和船对船石油转运更有效、更具成本效益和更有利可图。朝鲜政权的网络犯罪范围遍及全球,提供了天文数字的投资回报,并且风险较低,因为其网络犯罪很难被发现和归因,国际报复的可能性很小。联合国或美国很少对朝鲜网络组织实施制裁或法律行动。网络犯罪对政权尤其有利,因为它面临国际制裁的累积影响,以及由对合法和非法外贸自我施加新冠疫情限制、农业中心地带自然灾害和数十年毁灭性社会主义经济政策所造成的影响。

网络犯罪使传统犯罪黯然失色。随着国际社会打击朝鲜的各种犯罪活动,陷入困境的政权转向了新资金获取方式。与以前更传统的“实体”活动(如造假和走私)相比,网络行动现在是朝鲜犯罪活动的更大组成部分。用美国司法部国家安全司司长约翰·德默斯的话来说,朝鲜的黑客“已成为世界头号银行劫匪”。他称,“简而言之,朝鲜政权已成为一个带有旗帜的犯罪集团,利用其国家资源窃取数亿美元。”

与任何犯罪活动一样,很难评估朝鲜从其网络犯罪活动中获得了多少收益。政府、金融机构和执法机构可能不知道某些网络犯罪或无法最终确定犯罪者。即使网络犯罪成功,朝鲜黑客也可能无法将所有加密货币变现,一些受害金融机构能够收回部分或全部丢失货币。

2019年8月,联合国专家小组估计,朝鲜从网络犯罪中累计获利20亿美元。相比之下,2019年,朝鲜合法进口了价值27亿美元的各类民用商品,而其年度国内生产总值(GDP)为290亿美元。

一家韩国机构估算认为,朝鲜的网络犯罪年收入为8.6亿美元,但其他方面估计平壤每年可能从网络盗窃中获利10亿美元——相当于该国出口总额的三分之一。据估计,2017年至2018年期间,朝鲜占全球所有网络犯罪的65%。据评估,朝鲜黑客机构“拉撒路集团”(Lazarus Group)获得了价值超过17.5亿美元的加密货币。

2018年9月,美国一个大陪审团以2015年至2018年期间在亚洲、非洲、北美和南美的网络盗窃和勒索未遂罪对朝鲜网络特工朴镇赫(Park Jin-hyok)提出起诉。2020年,美国司法部宣布朝鲜对虚拟货币交易所的黑客攻击和相关洗钱活动“对全球金融体系的安全性和完整性构成严重威胁”。

三、朝鲜网络机构

平壤拥有大量开展恶意网络行动的政府机构和附属黑客组织。各机构似乎有特定的使命,尽管随着时间的推移,使命似乎也有重叠或变化。隐蔽网络组织的模糊性,以及零散和相互矛盾的信息,造成想要对其明确了解非常困难。

负责网络行动的主要政府机构是侦察总局(RGB)和总参谋部(GSD)。两者都隶属于国务委员会,该委员会由金正恩担任主席,且下属单位众多。其他政府单位包括国家安全保卫部和国防委员会。

除了政府机构外,许多附属的朝鲜黑客组织正在对政府、金融、基础设施和其他部门开展攻击。这些组包括:

  • 安达利尔(Andariel);

  • 比格男孩(BeagleBoyz);

  • 布鲁诺洛夫(Bluenoroff);

  • 千里马集团(The Chollima groups);

  • 黑暗旅馆(Dark Hotel);

  • 123集团(Group 123);

  • 金苏基集团(The Kimsuky group);

  • 拉撒路(又名APT38);

  • 收割者(Reaper,又名APT37和“铊”);

  • 星际争霸(Starcraft)。

美国政府将朝鲜政府的恶意网络活动统称为“藏龙”(Hidden Dragon)。

四、朝鲜的非法网络行动

网络行动提供了新的方法和工具,平壤可以用来实现其长期的间谍活动、干扰性和破坏性行动、勒索和恐怖主义、非法赚钱活动和逃避制裁的目标。朝鲜黑客已渗透到计算机网络以:

  • 从国防、军事技术、情报、金融、核和制药目标收集情报并窃取秘密;

  • 通过DDoS攻击扰乱、损害和破坏计算机系统;

  • 部署对数据或文件进行加密的勒索软件以挟持计算机系统,直至勒索付款或其他要求得到满足,有时与暴力物理攻击相结合,以及开展网络保护敲诈,从而让朝鲜网络组织避免攻击实体以换取报酬;

  • 报复朝鲜政权的反对者或贬低朝鲜领导人的人员;

  • 通过网络攻击银行、金融机构、加密货币交易所和SWIFT(环球银行间金融电信协会)网络,非法获取资金和洗钱以逃避制裁,并为资金短缺的政权筹集资金。

五、战术、技术和程序

朝鲜黑客擅长开发先进网络编码,甚至可以访问受到良好保护的政府、军队和金融计算机网络。他们还善于通过社会工程方法利用人类漏洞来诱骗受害者上传危害网络安全的恶意软件。

黑客寻求访问的方式与情报机构招募人力资产的方式大致相同。像情报机构一样,他们确定将实现政府指导目标的信息和机构,进行侦察以识别可以提供访问该信息的个人,评估漏洞和利用它们的手段,并确定他们可以使用哪些方法来泄露数据。

朝鲜经常通过鱼叉式网络钓鱼电子邮件发送恶意软件,目标是那些可以直接或三级访问目标网络的人员。虽然这些尝试中有许多是“请点击(受感染的)附件”的变体,但用于消除目标怀疑的手段已变得越来越聪明。黑客使用“欺骗”策略来伪装电子邮件、社交媒体账户或网站,使其看似来自公认可靠来源,以便目标会在不知不觉中上传恶意软件。这些方法通常是单独定制和高度形象化的,使用了关于目标或目标信任的个人或组织的个人信息。

在“理想工作”(Dream Job)、“拦截”(Interception)、“北极星”(North Star)和“想要工作”(WannaJob)行动中,针对澳大利亚、印度、以色列、俄罗斯、韩国和美国的国防和航空航天专家,朝鲜以虚假的国防承包商工作机会为诱饵,在受害者的系统上安装数据收集植入程序。这些网络团体通过创建合法公司的虚构WhatsApp、Facebook和LinkedIn个人资料来冒充招聘人员,甚至通过电子邮件和电话进行广泛的对话。

类似的技术被用来对付银行、公司和其他机构的员工,以获取对计算机网络的访问权限。朝鲜团体会模仿同事、朋友、记者或韩国相关机构来访问受害者计算机,然后使用获得的信息或联系人列表进行后续接触。这些团体甚至委托专家撰写论文,然后用作针对其他专家的诱饵。

黑客和情报机构也欢迎自荐为来源的目标。“步入式”情报源走进大使馆,或以其他方式联系政府来源自愿提供其之前未成为目标的服务。黑客通过感染或创建潜在来源可能访问的网站来进行“水坑”攻击。

黑客可以创建受感染的文档或链接,然后等待某人到来并在不知不觉中上钩。2017年,朝鲜黑客用恶意软件感染了波兰金融监管局的网站,该恶意软件被编程为下载到访问该网站的计算机上,前提是这些计算机来自104家预先选定的金融机构和电信公司。

一旦某个来源提供了访问权限,现有信息(包括可能访问其他潜在目标的信息)的用处将被进行调查和审查。在尝试执行网络盗窃前,朝鲜黑客可能会花费9到18个月的时间进行侦察、提升用户权限和禁用安全程序。朝鲜黑客被认为是独一无二的,他们愿意在盗窃过程中销毁大量数据以掩盖他们的踪迹或分散目标注意力。

六、朝鲜不断演变的网络行动

平壤的网络攻击经历了几个阶段。最初,朝鲜政权专注于窃取信息的网络间谍活动和网络攻击,以干扰或破坏与国防、核电站、基础设施、电信、媒体和企业相关的网络。早期的网络行动是一种“火力侦察”形式,用于测试对抗对手防御的初步能力,并且可能作为概念验证,用于在军事冲突或重大危机时期开展更广泛和严重危害性行动。

随着朝鲜提高其网络行动的范围、规模和先进性,其经历了几个阶段:网络恐怖主义、报复性攻击和勒索;网络银行盗窃;加密货币交易所和去中心化金融(DeFi)平台;(新冠疫情爆发后)制药公司。新阶段的启动并没有减少之前阶段普遍存在的网络攻击,尽管它们的范围和优先级可能已经改变。例如,在平壤发起网络犯罪活动以创收后,网络间谍活动仍在继续。

2015年,朝鲜开始进行网络盗窃行动,为陷入困境、受到严厉制裁的政权谋取收入。平壤开始开展对银行等传统金融机构的攻击、欺诈性强制银行间转账和自动柜员机(ATM)盗窃。在国际社会注意到这些攻击后,朝鲜政权将目标转向加密货币交易所。到2020年,根据一个联合国成员国的说法,朝鲜“对虚拟货币交易所的攻击比对拥有更强大网络保护金融机构的攻击产生了更多的非法收益”。

七、危机期间朝鲜可能采取的网络行动

事实证明,朝鲜擅长深入渗透甚至高度安全的政府、军队、银行和国际金融交易系统以及关键基础设施目标的计算机网络。然而,更令人担忧的是,在朝鲜半岛发生危机或敌对行动期间,平壤有可能造成更大的破坏。这些攻击表明,平壤有可能从事具有极大影响的网络战——换句话说,就是制造一场“网络9·11”。

朝鲜可能会致瘫关键基础设施系统,例如通信、水坝、电网、医院、核电站、供应链和交通控制系统。朝鲜黑客曾攻击铁路公司和航空公司,包括一个控制火车速度的自动化操作系统。朝鲜黑客已经干扰了航空公司的GPS信号,并可能寻求获得对飞机控制的控制权。

2013年,韩国国家情报院(NIS)透露,平壤曾开发了一个木马程序,以接管整个韩国的计算机网络和供电系统、化学材料设施、储油库、水处理站和地铁网络。NIS表示,朝鲜政权记录了韩国化学材料设施、储油库、水处理站和发电厂的地理坐标,并收集了有关变电站、主要城市地铁网络和高架道路、隧道、桥梁和火车站的信息。

2017年,作为早期侦察行动,朝鲜试图使用鱼叉式网络钓鱼电子邮件进入美国电力公司。计算机安全公司“火眼”(FireEye)报告称,黑客当时未能访问调节电源供应的计算机系统或工业控制系统。尽管如此,美国政府警告称,朝鲜的非法网络活动“威胁美国和更广泛的国际社会,尤其是对国际金融体系的完整性和稳定性构成重大威胁”,此外“朝鲜有能力开展影响美国关键基础设施的干扰性或破坏性网络活动”。

平壤可能会发动经济战以窃取大量资金或破坏国际金融体系或全球市场的稳定。朝鲜政权能够对银行开展勒索软件攻击,以获取资金或禁用或破坏计算机网络,以及用欺诈性交易淹没SWIFT系统。2019年,全球超过11000家SWIFT成员机构每天通过该网络发送约3360万笔交易。

八、美国应该做什么

朝鲜网络行动对美国、其合作伙伴和国际金融网络构成战略威胁。平壤的网络犯罪提供了逃避制裁和破坏国际社会为遏制该政权被禁核计划和导弹计划所做努力的手段。

华盛顿需要通过制定与其他政府和私营部门协调的综合性全政府战略将应对这一威胁列为国家优先事项。美国应全面执行现有法律,并评估是否需要采取额外的立法和行政行动,包括加强对网络货币交易和去中心化金融(DeFi)的监管。华盛顿应确定一系列惩罚措施,包括网络和动能措施,以应对被视为危害国家安全的攻击。

具体来说,华盛顿应该:

(一)评估威胁

美国国家情报总监应准备机密和非机密的《国家情报评估》,确定朝鲜网络能力的范围、过去的攻击以及未来行动的潜在更大威胁,包括在朝鲜半岛危机或敌对行动期间。这些报告应提交给国会的适当委员会。

美国还应继续发布威胁公告,提供朝鲜网络组织、近期网络攻击、逃避网络防御方式和洗钱活动的详细技术细节,以提醒政府和私营部门实体采取适当行动改善网络防御。威胁信息的广泛公开传播以及与其他政府以及银行、金融机构和公司的私人联系,可以在保护机密来源和方法的同时共享更详细的信息。

(二)制定全面的国家战略以应对网络威胁

解决朝鲜网络威胁应成为美国国家优先事项,需要利用所有国家力量工具进行综合性全政府响应。鉴于平壤网络行动的广泛性,此项工作应由美国白宫指导,至少应纳入财政部、司法部、国防部、商务部、国土安全部以及情报体系。

令人鼓舞的是,《2021年国防授权法案》设立了国家网络总监的职位,其担任总统的网络政策主要顾问。克里斯·英格利斯在美国家安全局工作了28年,他于2021年6月被确认以:领导协调美国网络安全政策和战略实施;监督加强网络安全和阻止恶意网络活动的工作;协调联邦对网络攻击的反应;与私营部门合作;开展外交工作,以就负责任国家网络行为制定规范和国际共识;支持“防御性网络计划和能力与进攻性网络计划的整合”。

同样令人鼓舞的是,拜登总统宣布他将“将网络安全作为各级政府的首要任务……进一步加强与私营部门的伙伴关系,并扩大我们对防御恶意网络攻击所需的基础设施和人员的投资。”

然而,关于国家网络总监将如何与其他具有直接或间接网络职责的高级官员和机构互动的问题仍然存在。谁将有影响力在职责重叠和优先事项相互冲突的庞大官僚组织中指导一致且全面的政策?如果没有对部门和机构的真正权力,新的网络总监可能会面临困扰国家情报总监的一些相同问题,后者的职位是在“9·11”袭击后设立的。如果要克服官僚主义的地盘争夺战和惯性,美国总统必须明确谁对网络政策拥有真正的权力,尤其是在该政策与国家安全、经济和执法政策相互作用时。

(三)与私营部门协调

在公共和私营部门间广泛共享网络威胁信息对于提高对朝鲜和其他黑客的防御能力至关重要。协作和协调能够实现对政府、行业、商业、金融和基础设施计算机网络中弱点的更全面评估,以及创新技术或方法性修复的建议。因此,华盛顿应与行业、企业和金融机构一起制定、协调和颁布网络规则、法规、安全协议和最佳实践,以提高网络安全和网络弹性。

《网络安全信息共享法案》授权美国土安全部“鼓励在所有类型实体——私人、联邦、州、地方、领土和部落——间大力共享有用的网络安全信息。”新的国家网络总监办公室将与现有政府机构一起与私营部门合作,这将增加竞争、混乱和行业挫折的可能性。应注意界定政府机构间的职责。

尽管政府、行业和银行采取了所有行动,但薄弱环节仍将是无意中让恶意软件渗透系统的个别员工。不管城堡的防御有多强,一人不小心放下吊桥,就会破坏所有的防御。考虑到这一点,各机构应该探索排除或减少恶意软件下载的技术措施。防止朝鲜网络入侵将需要改进技术防御和有效措施来阻止该政权先进的社会工程技术,这些技术诱使个人在不经意间将恶意软件上传到计算机系统中。

(四)吸引国际合作伙伴

美国的防御能力取决于海外最薄弱的环节。美国应在国家层面继续并扩大与外国政府、执法机构和金融监管机构以及通过它们与区域和国内合作伙伴进行协调的努力。还应该与外国金融机构和企业接触,传播有关朝鲜网络黑客和洗钱策略、技术和程序的信息。

美国应在多个论坛中发挥引领作用以建立并确保符合国际网络安全标准。上述工作可以在现有的外交实体中进行,例如联合国或G20论坛,由美国白宫或国务院以及金融和执法机构领导。

  • 联合国专家小组建议包括银行和加密货币交易所在内的金融机构通过金融服务信息共享和分析中心(FS-ISAC)等组织共享威胁信息和最佳实践来加强网络防御。美国财政部外国资产控制办公室(OFAC)可以带头鼓励和促进执法机构和金融机构之间的信息共享。该倡议可以模仿美财政部的金融犯罪执法网络(FinCEN)交换计划,以加强与金融机构共享有关优先非法金融威胁的信息。

  • 华盛顿应确保金融实体要么完全遵守现有法规,要么面临失去对SWIFT金融交易网络的访问权限或在美国金融系统中维持代理账户的能力的风险。

  • 鉴于美国广泛的情报收集能力和执法专长,华盛顿应派遣海外团队与外国政府、执法机构、金融机构和私营部门实体接触,提供有关朝鲜网络计划的有针对性的信息。美国此举是为了打击朝鲜逃避制裁的行为。这些工作成功地提醒了不了解朝鲜活动的实体,并在美国正式采取惩罚措施前触发合规性。

(五)全面执法打击非法活动和网络行动

尽管平壤的网络攻击非常严重,但美国政府只对少数朝鲜行为者采取了行动。不幸的是,这与美国历届政府限制针对朝鲜和其他违反美国法律和联合国决议的实体的执法行动的行动是一致的。美国政府应该对朝鲜黑客以及使他们能够在其领土上开展活动或提供技术、设备或培训的国家采取行动。这可以通过以下方式完成:

  • 通过投入足够的调查和执法工作,为制裁执法工作提供充分资源;

  • 全面执行适用于美国国民或美国境内加密货币交易的金融犯罪执法网络(FinCEN)法规;

  • 禁止美国国民或在美国境内开展促进朝鲜非法交易的匿名加密货币交易;

  • 修订《2016年朝鲜制裁和政策强化法案》,以禁止来自加密货币的、构成非法活动收益或参与非法活动的收益交易;

  • 向东道国施加更大压力以驱逐或引渡朝鲜黑客,包括终止美国商务部对做不到国家的技术出口许可证。

更强有力的行动可能会限制朝鲜为其被禁止的核计划和导弹计划获得资金的能力。美财政部和司法部应打击用于清洗朝鲜窃取资金的银行、金融机构和幌子公司。2017年,美国国会向白宫提交了一份被认为在美国金融体系犯下洗钱罪的12家银行名单。迄今为止,行政部门尚未采取任何行动。过去,美国曾对为伊朗洗钱的欧洲银行处以80亿至90亿美元的罚款。

美国司法部针对一些朝鲜人员的行动揭示了他们通过九家不同银行非法转移资金的程度。财政部应与这些银行接触,以确定它们是否在无意中助长了金融犯罪,在这种情况下其应该采取补救措施,或者是同谋,在这种情况下其应该被罚款、标记为洗钱问题并被除排于美国金融体系。《银行保密法》、《美国爱国者法》第312条和其他美国法规要求美国金融机构采取反洗钱措施,以确保外国实体的代理银行账户不在美国金融机构内被用于洗钱目的。

2021年1月,美国国会颁布了《2021财年国防授权法案》,其中包括《2020年反洗钱法》。该法令更新了美国的反洗钱法,显著扩大了美国政府传唤外国银行在海外所持有文件的权力,并将因不遵守传票而每天罚款50000美元。该法案还保留了政府终止美国金融体系中外国代理账户的能力,这对不遵守规定的外国银行是一种金融“死刑”。

(六)加强对加密货币交易所的监管

随着银行和金融机构对朝鲜网络攻击做出反应,平壤转向将加密货币交易所和去中心化金融(DeFi)用作洗钱的目标和手段。美国应与其他国家一起审查适用于加密货币交易所的现有立法和法规,以确保抵御网络攻击并防止洗钱的足够安全性。

联合国专家小组建议成员国应实施金融行动特别工作组的标准,并“管理和缓解虚拟资产带来的风险”,此类资产应受到加化监控和合规标准的约束。美国可以增加其技术警告通知,包括更加强调识别朝鲜的攻击、特定行为者及其虚拟货币“钱包”,以及用于加密货币交易的技术。

(七)确定美国对朝鲜网络攻击的反应

朝鲜对美国、其合作伙伴和国际金融体系开展更大规模甚至灾难性网络攻击的可能性提出了对该政权适当水平的报复甚至先发制人行动的问题。美国总统拜登评论称,“好的防御是不够的,我们首先需要扰乱和阻止我们的对手开展重大网络攻击。为此,我们将通过与我们的盟友和合作伙伴协调等方式,向应对此类恶意攻击负责的人员施加巨额成本。”

鉴于朝鲜受到网络攻击的风险有限,美国或国际的应对措施还需要考虑国家力量的非网络工具。其中包括“外交行动、合作减少、签证限制、金融制裁、法律行动和军事行动。如果持续应用,并且在某些情况下公开应用,那么对恶意网络行为施加重大成本的一致模式将增强我们的网络威慑力。”对非军事网络攻击做出军事反应将是艰难的决定,特别是考虑到最终归咎于网络行动的难度。然而,在2014年,北约领导人同意对成员国的大规模网络攻击将被视为对整个联盟的攻击,可能导致援引北大西洋公约第五条款并引发军事反应。同样,美国和日本在2019年同意,在某些情况下,网络攻击可能构成《美日安保条约》第五条所指的武装攻击。

美国应该考虑与其他联合国成员国讨论未来朝鲜的网络攻击是否应受到联合国安理会的决议和相应制裁,例如针对该政权的核试验和导弹试验而实施的制裁。实施网络犯罪以逃避制裁并为该政权被禁止核和导弹计划获取资金的朝鲜网络组织可以根据现有决议予以制裁。

九、结论

朝鲜是对美国、其盟国和国际金融体系安全的直接威胁。平壤继续加强和完善其对美国及其盟国的核、导弹和网络威胁。尽管近年来其动能军事攻击受到限制,但该政权自由地开展了一场广泛的网络灰色地带战争,其报复风险远低于常规军事行动所带来的风险。平壤开展网络游击战以窃取机密军事机密,盗窃数十亿美元的金钱和网络货币,挟持计算机系统,并对计算机网络造成广泛破坏。

防御朝鲜的网络攻击需要时刻保持警惕,并需要快速发展方法和技术,以供执法机构用于应对平壤逃避制裁的改进策略。自满或缺乏活力将使关键的政府、军事、金融和工业部门容易受到潜在的破坏性攻击。

然而,美国仅对朝鲜黑客和允许朝鲜黑客实施网络犯罪并从中洗钱的外国采取了有限行动。如果美国不对朝鲜对索尼的黑客攻击以及随后的恐怖主义威胁做出坚定回应,这种针对美国及其利益的攻击只会变得更加普遍。

作者简介

布鲁斯·克林纳(Bruce Klingner)

美国传统基金会亚洲研究中心东北亚高级研究员,专门研究韩国和日本事务。

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。