北韓常被認為是單向的網際網路:駭客對外攻擊,沒有東西可以進去。各種事件如2014年的 Sony影業被駭以及一連串的全球性銀行網路劫案都被報導是來自北韓駭客所為。一部分的公開證據是因為網路連線來自北韓IP地址。該國被認為嚴格地掌控網際網路,所以有人可能認為這樣的網路內系統不會被入侵。但外國犯罪集團用來發送垃圾郵件的殭屍網路怎麼能夠在北韓活躍一年多呢?北韓電腦是否也可能遭受一般的惡意軟體感染?分配給北韓的IP地址空間是否都被用在該國?這些問題的答案對於將攻擊歸因給北韓駭客有什麼影響?
本文會總結我們對進出北韓網路流量所進行研究的發現。它檢視了這包含1024個IP地址的網段。北韓也使用國外的基礎設施。我們同時發現註冊為北韓使用的一些IP地址實際是由虛擬專用網路(VPN)服務商所使用,顯然是想欺騙Geo IP服務將外國的網路基礎設施標記為北韓。
我們會介紹來自該國垃圾郵件殭屍網路的垃圾郵件活動,對北韓網站的DDoS攻擊和它們與真實世界事件的關連,以及北韓網站所經常出現的水坑攻擊。就像是我們之前關於北韓發動針對性攻擊的部落格文章,我們的目標是揭開常見迷思的真面貌。
北韓的網際網路
北韓網際網路空間是經由中國上游服務商連到網際網路的4組Class C IP範圍(總共1024個IP地址)。從2017年10月1日開始,一家俄羅斯公司提供相同IP範圍第二條路徑。因為某些歷史原因,北韓有額外使用一組分配給中國聯通的Class C IP地址(256個IP)。該國也可能透過衛星網路連到網際網路。許多電信商都有提供此服務,但我們不知道到底有誰被允許使用衛星網路。
有數個IP範圍看似由北韓使用,如果你相信Geo IP定位服務以及Whois註冊資料來的IP地址資料。
| IP網段 | IP數量 | Whois註冊國家 | GeoIP | 真正國家 | 附註 |
| 175.45.176.0/22 | 1,024 | 北韓 | 北韓 | 北韓 | 分配給平壤的Star Joint Venture Co., Ltd. |
| 210.52.109.0/24 | 256 | 中國 | 中國 | 中國 | 借自中國聯通 |
| 5.62.56.160/30 | 4 | 北韓 | 北韓 | 捷克 | “PoP North Korea” – 由VPN服務商HMA使用 |
| 5.62.61.64/30 | 4 | 北韓 | 蒙古 | 捷克 | “PoP North Korea” – 由VPN服務商HMA使用 |
| 45.42.151.0/24 | 256 | 北韓 | 北韓 | N/A | Manpo ISP (Roya hosting) |
| 46.36.203.81 | 1 | 北韓 | 北韓 | 荷蘭 | VPN服務商 “IAPS Security Services” |
| 46.36.203.82/30 | 4 | 北韓 | 北韓 | 荷蘭 | VPN服務商 “IAPS Security Services” |
| 57.73.224.0/19 | 8192 | 北韓 | 北韓 | N/A | SITA-Orange |
| 88.151.117.0/24 | 256 | 北韓 | 俄羅斯 | 俄羅斯 | LLC “Golden Internet” |
| 172.97.82.128/25 | 128 | 北韓 | 北韓 | 美國 | “North Korea Cloud” – 由VPN服務商HMA使用 |
| 185.56.163.144/28 | 16 | 北韓 | 北韓 | 盧森堡 | VPN服務 |
表1、與北韓有關的IP範圍
有些虛擬專用網路(VPN)服務商聲稱擁有在北韓的出口節點(如例1、 例2)。這表示這些VPN服務的客戶可以選擇經由北韓出口節點瀏覽。這看起來是讓願意嚐鮮的使用者從北韓角度來體驗網際網路的奇特機會。但據我們所知,VPN服務商的說法並不正確。“北韓”出口節點實體位置是位於像盧森堡、捷克和美國的西方國家。該VPN服務商讓Geo IP服務相信他們有一台電腦伺服器在北韓,可能是將北韓國家代碼輸入到特定IP地址範圍的公共Whois資料。雖然VPN服務商可能會覺得這是個無傷大雅的行銷噱頭,但會讓依賴Geo IP服務的系統管理員在檢視系統上攻擊相關日誌檔時下了錯誤的結論。
圖1、HMA VPN服務表示它們有一個出口節點在北韓,但實際上這出口節點位在捷克。
