深入檢視北韓的網際網路

北韓常被認為是單向的網際網路:駭客對外攻擊,沒有東西可以進去。各種事件如2014年的 Sony影業被駭以及一連串的全球性銀行網路劫案都被報導是來自北韓駭客所為。一部分的公開證據是因為網路連線來自北韓IP地址。該國被認為嚴格地掌控網際網路,所以有人可能認為這樣的網路內系統不會被入侵。但外國犯罪集團用來發送垃圾郵件的殭屍網路怎麼能夠在北韓活躍一年多呢?北韓電腦是否也可能遭受一般的惡意軟體感染?分配給北韓的IP地址空間是否都被用在該國?這些問題的答案對於將攻擊歸因給北韓駭客有什麼影響?

本文會總結我們對進出北韓網路流量所進行研究的發現。它檢視了這包含1024個IP地址的網段。北韓也使用國外的基礎設施。我們同時發現註冊為北韓使用的一些IP地址實際是由虛擬專用網路(VPN)服務商所使用,顯然是想欺騙Geo IP服務將外國的網路基礎設施標記為北韓。

我們會介紹來自該國垃圾郵件殭屍網路的垃圾郵件活動,對北韓網站的DDoS攻擊和它們與真實世界事件的關連,以及北韓網站所經常出現的水坑攻擊。就像是我們之前關於北韓發動針對性攻擊的部落格文章,我們的目標是揭開常見迷思的真面貌。

 

北韓的網際網路

北韓網際網路空間是經由中國上游服務商連到網際網路的4組Class C IP範圍(總共1024個IP地址)。從2017年10月1日開始,一家俄羅斯公司提供相同IP範圍第二條路徑。因為某些歷史原因,北韓有額外使用一組分配給中國聯通的Class C IP地址(256個IP)。該國也可能透過衛星網路連到網際網路。許多電信商都有提供此服務,但我們不知道到底有誰被允許使用衛星網路。

有數個IP範圍看似由北韓使用,如果你相信Geo IP定位服務以及Whois註冊資料來的IP地址資料。

IP網段IP數量Whois註冊國家GeoIP真正國家附註
175.45.176.0/221,024北韓北韓北韓分配給平壤的Star Joint Venture Co., Ltd.
210.52.109.0/24256中國中國中國借自中國聯通
5.62.56.160/304北韓北韓捷克“PoP North Korea” – 由VPN服務商HMA使用
5.62.61.64/304北韓蒙古捷克“PoP North Korea”  – 由VPN服務商HMA使用
45.42.151.0/24256北韓北韓N/AManpo ISP (Roya hosting)
46.36.203.811北韓北韓荷蘭VPN服務商 “IAPS Security Services”
46.36.203.82/304北韓北韓荷蘭VPN服務商 “IAPS Security Services”
57.73.224.0/198192北韓北韓N/ASITA-Orange
88.151.117.0/24256北韓俄羅斯俄羅斯LLC “Golden Internet”
172.97.82.128/25128北韓北韓美國“North Korea Cloud”  – 由VPN服務商HMA使用
185.56.163.144/2816北韓北韓盧森堡VPN服務

表1、與北韓有關的IP範圍

 

有些虛擬專用網路(VPN)服務商聲稱擁有在北韓的出口節點(如例1例2)。這表示這些VPN服務的客戶可以選擇經由北韓出口節點瀏覽。這看起來是讓願意嚐鮮的使用者從北韓角度來體驗網際網路的奇特機會。但據我們所知,VPN服務商的說法並不正確。“北韓”出口節點實體位置是位於像盧森堡、捷克和美國的西方國家。該VPN服務商讓Geo IP服務相信他們有一台電腦伺服器在北韓,可能是將北韓國家代碼輸入到特定IP地址範圍的公共Whois資料。雖然VPN服務商可能會覺得這是個無傷大雅的行銷噱頭,但會讓依賴Geo IP服務的系統管理員在檢視系統上攻擊相關日誌檔時下了錯誤的結論。

 Figure 1. HMA VPN service says it has an exit node in North Korea, but in reality the exit node is in Czech Republic.

圖1、HMA VPN服務表示它們有一個出口節點在北韓,但實際上這出口節點位在捷克。

作為外部觀察者,我們對於一般北韓人民如何使用網際網路知之甚少。根據以往的研究,少數人民被允許使用光明網(Kwangmyong),這是國家等級的北韓內網。讓他們能夠使用隨選視訊、閱讀線上書籍,透過高麗電信所提供的數據方案來用手機上金策工業綜合大學的線上課程。高麗電信是北韓的主要服務商,提供手機數據連線給北韓人民和外國人。從2016年起,價格是國內用戶2850 KPW(北韓元,官方匯率約23美元)。也有許多人在學校或管理部門使用光明網。對於被允許瀏覽網際網路的使用者,網路流量都會經過全國性代理伺服器(內部代理伺服器IP為10.76.1.11),這寫死在Red Star OS的預設網頁瀏覽器Naenara內。不過根據第31屆Chaos Communication Congress的一段談話,也有人使用中國進口安裝Windows XP的電腦。

 

國際遊客使用北韓網際網路

在2013年1月前,所有到訪北韓的國際遊客都必須交出自己的手機。該規則之後改成讓旅客在該國內保有自己的手機和平板電腦。

網際網路連線價格隨時都在變,而且在2016年之前都相當昂貴。根據遊客的旅遊札記,國際遊客在2013年時想要啟用行動上網的費用高達75歐元,再加上每月10歐元的50MB數據流量。自2016年起,外國人的價格減少為安裝費用2.15美元,再加上每月3.23美元的1GB數據流量。筆記型電腦的USB數據機價格為150歐元起。

據我們所知,外國網路使用者被允許從自己的筆記型電腦和行動設備瀏覽熱門社群網站如VK、Facebook、Instagram、Google+和其他國際網站。從北韓到社群網站上發文在2013年仍被認為是不可思議的事情。美聯社攝影記者David Guttenfelder在Instagram發布照片,記者 Jean H. Lee在美聯社工作時從平壤在Twitter上發文

 Figure 2: Social Media post using North Korean internet

圖2:使用北韓網路的社群媒體貼文

 

這代表北韓網路已經開放了一點點,至少對訪問該國的外國人來說。遊客和長期居住外國人的網路流量透過NAT轉址到外部IP地址。我們看過來自下列IP地址的網路流量:

  • 45.178.6
  • 45.178.7
  • 45.178.10
  • 45.178.13
  • 45.178.14
  • 45.178.23
  • 45.178.47
  • 45.178.98
  • 45.178.99
  • 45.178.102
  • 45.178.103
  • 45.178.111
  • 45.178.229

 

北韓公共網站

這裡有一些位於該國的公共網站。我們利用趨勢科技Smart Protection Network(SPN)的資料在下表整理出訪問北韓網站的數量。有一個關於韓國料理食譜的網站相當受歡迎。而朝鮮中央通訊社(KCNA)的網站最受歡迎,用六種語言提供國際新聞。Naenara(“我們的國家”)是多語言入口網站,也是北韓作業系統“Red Star OS”的預設網頁瀏覽器名稱。Voice of Korea是國際廣播服務網站,線上提供韓語教學和旅遊資訊。國家航空公司高麗航空(Air Koryo)也有一個網站。雖然有些網站使用專門的託管服務,但其他都託管在共享IP地址175[.]45[.]176[.]81上。所以DDoS攻擊往往會針對這些伺服器也就毫不奇怪了。

 Figure 3. Naenara, a multi-lingual web portal of North Korea

圖3、Naenara – 北韓的多語言入口網站

 

一些北韓網站放在其他國家。朝中社(KCNA)有僅限日本網路用戶可連上的日文版。該網站提供被稱為韓國通訊社(KNS)的內容。KNS還提供來自北韓和其他國家的照片販賣服務,價格在6,000到45,000日元(約54到400美元)之間。網站Uri minzokkiri(“我們的民族”)位在中國,是將挑選過新聞翻譯成六種語言的宣傳網站。雖然北韓在YouTube上的一個主要帳號在2016年被停止,還剩下一個YouTube頻道(KCTV,朝鮮中央電視台)提供官方影片剪輯。

下列圖表根據熱門度來排序北韓網站。藍色使用的是專用網頁伺服器;橙色使用的是共享伺服器。

 Figure 4. Popularity chart of websites in South Korea as of July 2017. Source: Trend Micro's Smart Protection Network.

圖4、北韓網站在2017年7月的熱門排行。資料來源:趨勢科技的Smart Protection Network

 

北韓的垃圾郵件殭屍網路

 

朝鮮有一些郵件伺服器會發送電子郵件(見表2)。據我們所知,政府機構和部委並不使用gov.kp郵件地址。而是用服務商所提供的郵件服務,如star-co.net.kp和silibank.net.kp。比方說朝鮮民主主義人民共和國版權局使用的郵件地址是pptayang@star-co.net.kp,原子能總局使用mhs-ip@star-co.net.kp,國家旅遊局使用nta@star-co.net.kp和簽證要求透過tkdkorea@star-co.net.kp由朝鮮跆拳道委員會處理。外國使館、旅行社、銀行和外國公司需要跨國通訊會使用自己的伺服器或公開郵件服務(如Gmail和Hotmail)。來自175.45.176.70和175.45.178.55的郵件通常是合法的。來自其他北韓IP地址的電子郵件比較可能是灰色或惡意的。

 

網域郵件伺服器IP
airkoryo.com.kpmail.airkoryo.com.kp175.45.176.70
silibank.net.kpmail.silibank.net.kp175.45.176.70
star-co.net.kpsmtp.star-co.net.kp175.45.178.55
star-di.net.kpsmtp.star-di.net.kp175.45.178.55
star.edu.kpmail.star.edu.kp175.45.179.69
star.net.kpsmtp.star.net.kp175.45.176.61 / 175.45.178.170

2北韓的郵件伺服器

 

我們發現數起少量垃圾郵件的攻擊活動來自北韓,即便該國人民上網受到了嚴格限制。根據趨勢科技Smart Protection Network(SPN)的資料顯示,來自北韓IP範圍的垃圾郵件活動是屬於大型垃圾郵件殭屍網路的垃圾郵件活動一部分。這顯示在北韓連線上網的電腦很容易受到惡意軟體和殭屍網路感染,就跟其他任何國家一樣。北韓的電腦也會跟外國駭客所經營的指揮與控制(C&C)伺服器進行通訊。這也代表從北韓IP網段所發起的大規模端口掃描或駭客攻擊可能是其他地方駭客所為。

下表列出來自北韓IP網段的垃圾郵件。從2016年8月到12月,IP地址175.45.178.102加入一個巨大的垃圾郵件活動,是全球8萬個垃圾郵件發送節點的其中一個。這波攻擊活動會散播JS_NEMUCOD,一個用來派送勒索病毒(如Locky)和其它惡意軟體的下載器。我們還看到一般的垃圾郵件,如導到藥品或約會網站。

日期寄件者IP地址郵件主旨類型來源
2016-08-23175.45.178.102Audit Report勒索病毒下載程式垃圾郵件殭屍網路
2016-08-24175.45.178.102Cancellation勒索病毒下載程式垃圾郵件殭屍網路
2016-08-25175.45.178.102Contract勒索病毒下載程式垃圾郵件殭屍網路
2016-08-26175.45.178.102office equipment勒索病毒下載程式垃圾郵件殭屍網路
2016-08-27175.45.178.102monthly report勒索病毒下載程式垃圾郵件殭屍網路
2016-08-30175.45.178.102mortgage documents勒索病毒下載程式垃圾郵件殭屍網路
2016-08-31175.45.178.102paycheck勒索病毒下載程式垃圾郵件殭屍網路
2016-09-14175.45.178.102Account report勒索病毒下載程式r垃圾郵件殭屍網路
2016-09-22175.45.178.102Payment approved勒索病毒下載程式垃圾郵件殭屍網路
2016-09-30175.45.178.102Transaction details勒索病毒下載程式垃圾郵件殭屍網路
2016-10-05175.45.178.3Pleasure is what you need壯陽藥垃圾郵件垃圾郵件殭屍網路
2016-10-06175.45.178.3Always good loving attack壯陽藥垃圾郵件垃圾郵件殭屍網路
2016-10-11175.45.178.3Achieve tips to intensify your intimate life壯陽藥垃圾郵件垃圾郵件殭屍網路
2016-10-12175.45.178.3Increase your loving life壯陽藥垃圾郵件垃圾郵件殭屍網路
2016-10-26175.45.178.3Scrivimi me壯陽藥垃圾郵件垃圾郵件殭屍網路
2016-10-27175.45.178.3Come stai?壯陽藥垃圾郵件垃圾郵件殭屍網路
2016-11-22175.45.178.102Please Note勒索病毒下載程式垃圾郵件殭屍網路
2016-11-23175.45.178.102Please note勒索病毒下載程式r垃圾郵件殭屍網路
2016-12-13175.45.178.102Payment Confirmation勒索病毒下載程式垃圾郵件殭屍網路
2017-02-07175.45.178.107You received a new eFax from 516-9515481勒索病毒下載程式垃圾郵件殭屍網路
2017-03-03175.45.178.107Keep your girl happy every night壯陽藥垃圾郵件垃圾郵件殭屍網路
2017-06-13175.45.178.102Here’s why this company’s shares are about to go up tenfold next week.股票垃圾郵件垃圾郵件殭屍網路
2017-06-16175.45.178.111You can make more than ten times your principle with just this 1 stock股票垃圾郵件垃圾郵件殭屍網路
2017-06-20175.45.178.111This company just found a huge cure and no one knows about it yet!股票垃圾郵件垃圾郵件殭屍網路
2017-06-21175.45.178.111Here’s an idea that could make you a small fortune…股票垃圾郵件垃圾郵件殭屍網路
2017-07-03175.45.178.111Hi約會垃圾郵件垃圾郵件殭屍網路
2017-09-10175.45.178.14Oh, I forgot…, Best for treating EDFix藥品垃圾郵件垃圾郵件殭屍網路
2017-09-14175.45.178.14Copy of Invoice 561878勒索病毒下載程式垃圾郵件殭屍網路
2017-09-22175.45.178.107Your Invoice # 177122勒索病毒下載程式垃圾郵件殭屍網路

表3、從北韓發送垃圾郵件的例子。這列表並不代表全部。

 

託管在北韓伺服器的惡意軟體

 Figure 5: Japanese KCNA website

圖5:日本朝中社網站

北韓網站常被作為水坑攻擊的目標。比方說朝中社(KCNA)網站和其他公眾網站常被用來提供惡意內容給它的訪客。我們在2015年看過一次這樣的事件,一個不知名駭客利用北韓網站來散佈PE_WINDEX.A-O,一個用來植入主病毒的假Flash播放程式。兩年後,類似病毒(PE_WINDEX.A)出現在預裝IBM Storwize初始化工具的USB隨身碟。在2017年5月,朝中社(KCNA)日本分社和在日本朝鮮人総連合会(Chongryon,朝總聯)被觀察到託管內含瀏覽器漏洞攻擊碼的VB腳本,會用來攻擊CVE-2016-0189漏洞並且下載惡意軟體。在這一次,我們並不確定這些網站是被入侵或實際用來託管惡意軟體。

 Figure 6. Korean Central News Agency hosted an exploit kit

圖6、朝鮮中央通訊社放有漏洞攻擊套件。

 

從蜜罐系統觀察

我們從我們的蜜罐系統觀察到來自北韓IP網段的攻擊流量(如175.45.176.81),一個服務多個公開北韓網站,常被進行分散式阻斷服務(DDoS)攻擊的共享主機服務。我們蜜罐網路上的許多服務被掃描並頻繁的嘗試DDoS放大攻擊。這讓我們對來自並針對北韓IP網段的攻擊有些能見度。舉例來說,偽造來源IP 175.45.176.81對UDP(SSDP、NTP)的暴增流量顯示有人正在執行阻斷服務(DoS)攻擊並針對該IP地址。我們還觀察到針對北韓IP地址的TCP SYN Flood攻擊。有趣的是,其中的一些攻擊和公共事件或地緣政治事件有關連。一起SSDP flood攻擊在2017年4月16日針對北韓的一個主要代管IP地址,就在北韓閱兵展示導彈的一天之後。

另一方面,一些來自北韓IP網段的惡意TCP和UDP流量攻擊了蜜罐系統。這些攻擊大部分來自跟國際遊客代理伺服出口節點相同的Class C網段,如175.45.178.102和175.45.178.103。要歸因這些攻擊非常困難,因為這些掃描可能來自真正的北韓駭客或接收來自外國指揮與控制伺服器命令的中毒電腦。

這將我們帶到一個有趣的結論。一些公開報導中將出現在日誌檔的看似來自北韓IP地址作為攻擊來自北韓的關鍵證據之一。我們已經用一些調查結果來證明這樣可能並不足夠,因為北韓跟網路上的任何其他地方一樣確實有被入侵的機器。北韓網際網路並不像許多人所想像的那樣嚴格管控,有些來自北韓的網路流量實際上來自國外的僵屍網路主人。歸因可能很困難,而且可能越來越難,就像是我們之前的一篇文章所介紹過,OnionDog被證明不是北韓駭客所進行的針對性攻擊,而是一場網路安全演練。

 

@原文出處:A Closer Look at North Korea’s Internet 作者:趨勢科技前瞻性威脅研究小組(Vladimir Kropotov、Philippe Z Lin、Fyodor Yarochkin和Feike Hacquebord)