Sony影業被駭 以及一連串的全球性銀行網路劫案 都被報導是來自北韓駭客所為。一部分的公開證據是因為網路連線來自北韓IP地址。該國被認為嚴格地掌控網際網路,所以有人可能認為這樣的網路內系統不會被入侵。但外國犯罪集團用來發送垃圾郵件的殭屍網路怎麼能夠在北韓活躍一年多呢?北韓電腦是否也可能遭受一般的惡意軟體感染?分配給北韓的IP地址空間是否都被用在該國?這些問題的答案對於將攻擊歸因給北韓駭客有什麼影響?
本文會總結我們對進出北韓網路流量所進行研究的發現。它檢視了這包含1024個IP地址的網段。北韓也使用國外的基礎設施。我們同時發現註冊為北韓使用的一些IP地址實際是由虛擬專用網路(VPN)服務商所使用,顯然是想欺騙Geo IP服務將外國的網路基礎設施標記為北韓。
我們會介紹來自該國垃圾郵件殭屍網路的垃圾郵件活動,對北韓網站的DDoS攻擊和它們與真實世界事件的關連,以及北韓網站所經常出現的水坑攻擊。就像是我們之前關於北韓發動針對性攻擊的部落格文章 ,我們的目標是揭開常見迷思的真面貌。
北韓的網際網路
北韓網際網路空間 是經由中國上游服務商連到網際網路的4組Class C IP範圍(總共1024個IP地址)。從2017年10月1日開始,一家俄羅斯公司提供 相同IP範圍第二條路徑 。因為某些歷史原因,北韓有額外使用一組分配給中國聯通的Class C IP地址(256個IP)。該國也可能透過衛星網路連到網際網路。許多電信商都有提供此服務,但我們不知道到底有誰被允許使用衛星網路。
有數個IP範圍看似由北韓使用,如果你相信Geo IP定位服務以及Whois註冊資料來的IP地址資料。
IP 網段 IP 數量 Whois 註冊國家 GeoIP 真正國家 附註
175.45.176.0/22
1,024
北韓
北韓
北韓
分配給平壤的Star Joint Venture Co., Ltd.
210.52.109.0/24
256
中國
中國
中國
借自中國聯通
5.62.56.160/30
4
北韓
北韓
捷克
“PoP North Korea” – 由VPN服務商HMA使用
5.62.61.64/30
4
北韓
蒙古
捷克
“PoP North Korea” – 由VPN服務商HMA使用
45.42.151.0/24
256
北韓
北韓
N/A
Manpo ISP (Roya hosting)
46.36.203.81
1
北韓
北韓
荷蘭
VPN服務商 “IAPS Security Services”
46.36.203.82/30
4
北韓
北韓
荷蘭
VPN服務商 “IAPS Security Services”
57.73.224.0/19
8192
北韓
北韓
N/A
SITA-Orange
88.151.117.0/24
256
北韓
俄羅斯
俄羅斯
LLC “Golden Internet”
172.97.82.128/25
128
北韓
北韓
美國
“North Korea Cloud” – 由VPN服務商HMA使用
185.56.163.144/28
16
北韓
北韓
盧森堡
VPN服務
表1 、與北韓有關的IP 範圍
有些虛擬專用網路(VPN)服務商聲稱擁有在北韓的出口節點(如例1 、 例2 )。這表示這些VPN服務的客戶可以選擇經由北韓出口節點瀏覽。這看起來是讓願意嚐鮮的使用者從北韓角度來體驗網際網路的奇特機會。但據我們所知,VPN服務商的說法並不正確。“北韓”出口節點實體位置是位於像盧森堡、捷克和美國的西方國家。該VPN服務商讓Geo IP服務相信他們有一台電腦伺服器在北韓,可能是將北韓國家代碼輸入到特定IP地址範圍的公共Whois資料。雖然VPN服務商可能會覺得這是個無傷大雅的行銷噱頭,但會讓依賴Geo IP服務的系統管理員在檢視系統上攻擊相關日誌檔時下了錯誤的結論。
圖1 、HMA VPN 服務表示它們有一個出口節點在北韓,但實際上這出口節點位在捷克。
繼續閱讀
北韓常被認為是單向的網際網路:駭客對外攻擊,沒有東西可以進去。各種事件如2014年的 
