本文由《纽约时报》授权《好奇心日报》发布，即使我们允许了也不许转载。

华盛顿电 – 11 月，当索尼电影娱乐公司遭受毁灭性网络攻击之后，美国官方当时就谴责了朝鲜，而让他们做出这一判断的依据，则要回溯到 2010 年。当时，美国国家安全局（NSA）侵入了这个被认为是世界上最不容易渗透的国家的计算机系统。

根据曾经的美国和别国官员以及随后向上级汇报此事的计算机专家的言论，结合新近披露的一份美国国家安全局文件得知，由于越来越担心朝鲜渐渐成熟起来的各种能力，美国谍报机构钻入了中国的网络，而朝鲜正是通过中国的网络连通了外部世界。美方挑选了朝鲜黑客最喜欢利用的马来西亚网络通道，在韩国和其他美国盟友的协助下，直接渗透进了朝鲜网络。

官员们还说，美国国家安全局一个机密级项目，扩大成为了一次野心勃勃的行动，他们放置了恶意软件，用来追踪朝鲜黑客使用的电脑和网络。韩国军方最近说，朝鲜的黑客部队人数大约为 6000 人，其中大部分由朝鲜主要情报部门侦查总局（Reconnaissance General Bureau）和朝鲜秘密黑客部门 121 局（Bureau 121）指挥。而后者还在中国有一个大型前哨站。 

脱北者金恒光（Kim Heung-kwang）说，在 1990 年代初，朝鲜计算机专家曾经有过一个想法：使用互联网来攻击国家的敌人。

这个细心隐藏的软件监控着朝鲜的一举一动，而由它的“早期预警雷达”收集到的证据，则在说服奥巴马总统谴责金正恩政府安排对索尼攻击一事上，起到了至关重要的作用。由于美国国家安全局的行动属于机密，因此透露这一信息的官员和专家要求匿名。

奥巴马谴责朝鲜安排了对美国目标最大规模的攻击——这一决定，以及随后承诺要进行的报复（其实已经开始了，美国对朝鲜实施了新的经济制裁）是一次非常不一般的举动：美国此前从来没有明确指控过别国政府对美国目标实施网络攻击。

奥巴马的助手说，总统对根据情报得出确切结论时都很谨慎。但据美国军方一位高级官员称，此次“他毫不怀疑”。

“确定攻击来自何方极其困难，也极其缓慢，”华盛顿战略与国际研究中心（Center for Strategic and International Studies）网络战专家詹姆斯·路易斯（James A. Lewis）说，“美国很快就断定是朝鲜实施了攻击，而且十分肯定，这说明此事和以往不一样——他们肯定得到了来自对方内部的消息。”

在过去约 10 年里，美国在外国对手的计算机系统里部署了许多可以描绘出计算机网络信息的“灯塔（beacons）”，还有一些监控软件，偶尔还会部署破坏性的恶意软件。在美国和以色列攻击伊朗核计划的关键技术上，美国政府花了数十亿美元，而曾经为美国国家安全局工作过的爱德华·斯诺登在此前披露的文件则显示，这些技术已经被广泛部署在了对付中国上。

但由于害怕这些用于收集国家情报的后门手段被曝光，美国官员都拒绝公开谈论华盛顿方面是利用什么技术断定对索尼的攻击是朝鲜安排的。

美国对朝鲜计算机系统的集中渗透也提出了一个问题：为什么美国没能在去年秋天攻击形成的时候警告索尼？而早在 6 月的时候朝鲜就曾警告说，这部粗制滥造的讲述 CIA 阴谋刺杀朝鲜领袖的电影《采访》如果上遇，将会是“一次战争行动”。 

平壤的晚餐

据两位美国官员称，当攻击在 9 月初开始时，由于近几年来侵入朝鲜计算机系统行动的成功，美国国家安全局发现了针对索尼的第一次“鱼叉式网络钓鱼（spear phishing）”——那一次，如果不知情的用户点击了电邮中的链接，恶意代码就会进入他的电脑系统。

但那次攻击看起来没什么不寻常的地方。直到当调查人员回顾此事时，才确定朝鲜窃取了一位索尼计算机系统管理员的“密匙”，从而让黑客得以在索尼的计算机系统里自由地漫游。

调查人员在最近几周得出结论说，黑客从 9 月中旬到 11 月中旬，花了两个多月时间来绘制索尼计算机系统的结构图、确定关键文件的位置，并策划了摧毁计算机和服务器的办法。

“他们异常仔细和有耐心，”一位汇报了调查情况的人说。但他还说，即便美国掌握了朝鲜行动的信息，但当攻击在 11 月 24 日开始时，美国的情报部门“还是无法真正理解事件的严重性”。

相关官员们说，事实上在 11 月初，美国国家情报总监（DNI）小詹姆斯·克拉帕将军（Gen. James R. Clapper Jr.）曾临时决定和朝鲜方面的相关官员秘密在平壤会面，以确保朝鲜释放其监禁的两名美国人，但他那时没有提及索尼，也没有提及朝方愈演愈烈的黑客行为。

小詹姆斯·克拉帕将军说，他去年秋天曾和后来负责对索尼攻击行动的人一起用过餐。

最近克拉帕在纽约福特汉姆大学（Fordham University）发表演讲时，承认他与朝鲜侦查总局指挥官金永哲（Kim Yong-chol）在这场共有 12 道菜的宴席上针锋相对，并且金“随后负责了针对索尼的攻击”。（克拉帕对这顿饭赞赏有加，而东道主随后则让他为自己的那份饮食买了单。）

当被问到在吃饭时克拉帕是否了解朝鲜对索尼的攻击时，克拉帕的发言人布莱恩·黑尔（Brian P. Hale）说，克拉帕此前并不知道自己要和朝方情报官员会面，他此行去朝鲜的目的“纯粹是为了确保被关押的两位美国公民能被释放”。

黑尔说，“由于争取美国公民获释一事的敏感性，克拉帕把关注点放在了这一个任务上，并没想讨论别的事情，以防影响此事的进程。”但他说，克拉帕也敏锐地意识到了朝鲜越来越强的各种能力。

2007 年叛逃的前朝鲜军方程序员张世列（Jang Sae-yul）在首尔接受采访时说：“他们有着令人难以对付的黑客技术。他们花了将近 30 年时间来做准备，学习黑客技术，而且只学习黑客技术，以及学习如何入侵特定国家。”

然而，对索尼入侵的熟练程度之高，让许多专家称，他们对朝鲜实施了攻击，或者对只有朝鲜实施了攻击持怀疑态度。他们认为此事要么是一名对索尼不满的前雇员作了内应，要么是一个外部组织聪明地模仿了朝鲜黑客。美国联邦调查局局长詹姆斯·科米（James B. Comey）披露了一些美国持有的证据，以回应人们的批评，但许多人并没有被 FBI 的这些努力说服。

中国东北部城市沈阳，那里有朝鲜运营的酒店和餐馆，由一些 IP 地址追踪而来的“攻击基地”就来自这里。

在前文所述福特汉姆大学的大会上，科米也说，朝鲜在掩盖他们的踪迹的时候“很马虎”，而且黑客会时不时“直接连接网络，我们都能看到他们。”

“而且我们发现，那些用来发布文章和发送邮件的 IP 地址，都是些只有朝鲜人才会用的地址，”他说。专家们则说，那些 IP 地址中的一些似乎来自中国。

但那些持怀疑态度的人说，黑客想要假装成朝鲜人来掩藏他们的踪迹也没有那么难。科米说，他手中还有其他证据，但不能说。美国国家安全局局长迈克尔·罗杰斯上将（Adm. Michael S. Rogers）在福特汉姆大学的大会上说，在看了机密数据之后，他“十分确信”是朝鲜实施了此次攻击。

越来越强的能力

1965 年，朝鲜依靠其在法国受过训练的工程师，用真空管组装成了它的第一台计算机。在一个短暂的时期里，它似乎走在了韩国和中国的前面，不仅赶上了这两个国家，而且还把本国经济成就中的一大部分放到了计算机硬件和软件上。

脱北者说，朝鲜领袖一开始曾把互联网看作是一种威胁，担心国民会受到外部思想的侵蚀。

但脱北者金恒光在一次采访中说，他曾帮助训练了许多朝鲜第一批网络间谍，他回忆说，在 1990 年代初，一群从中国回到朝鲜的计算机专家带回了一个“非常奇怪的新想法”：利用互联网从政府的敌人那里窃取秘密，并对它们进行攻击。“中国已经在做这样的事了，”他引述一位专家的话说。

脱北者报告说，朝鲜军方对这个想法很感兴趣。所以执政的朝鲜劳动党在 1994 年派出了 15 名朝鲜人，到北京的一所军校学习黑客技术。当他们回到朝鲜以后，就成为了外部信息情报办公室（External Information Intelligence Office）的核心成员。该机构曾侵入过国外网站、渗透过防火墙，并从海外窃取过信息。由于朝鲜和外部世界几乎没有网络连接，因此这些黑客的很多工作都是在中国和日本完成的。

据金恒光说，1996 年，军方开始急切地训练计算机“勇士”，两年后，现在主要负责网络攻击的 121 局成立。该局成员被派往中国和俄罗斯，接受了两年的训练。张世列说，那些人都是人们嫉妒的对象，一部分原因就是他们可以自由出国。

“他们过去回来的时候，都会穿着外国风情的衣服、带回来电饭煲和照相机等各种昂贵的电子产品，”他说。他的朋友告诉他，121 局被分成了不同的组，每个组针对一个特定的国家或地区，特别是美国、韩国，以及朝鲜唯一的盟友中国。

“他们在那两年时间里并不是去开展攻击，而只是学习目标国家的互联网，”张世列说。他今年 46 岁，原来在另一个负责编写战争模拟程序的军方部门工作。

张世列说，随着时间的推移，朝鲜开始把一些数学成绩最好的学生转到顶级高校里学习，其中包括一所叫美林大学（Mirim University）的计算机战争专门军校。他自己曾以年轻军官的身份在那里就读。

其他人则被派往位于中国东北部城市沈阳的一个“攻击基地”，在那里有许多朝鲜运营的酒店和餐厅。和朝鲜的核项目以及弹道导弹项目不同，网军可以被用来骚扰韩国和美国，而不会承担毁灭性回击的风险。

“网络战争只不过是朝鲜历史悠久的不对称战争的新篇章罢了，”一份惠普在 8 月份发布的安全研究报告中这样写道。

来自首尔的攻击

一位前美国官员称，当美国人在 2010 年第一次连通朝鲜的网络和电脑后，他们的监控都主要关注朝鲜的核项目及其领导，同时他们还关注探测针对美国在韩国的军事力量的攻击。（德国的《明镜Der Spiegel》杂志周六公布了一份美国国家安全局文件，提供了一些韩国协助美国开展对朝间谍活动的细节。）后来在 2013 年，一起针对韩国银行和媒体公司的破坏性极大的攻击说明，朝鲜正在成为一个更大的威胁，因此美国人的关注点才得以转变。

“黑客们才是最大的目标，”这位官员称。

那次攻击涉及到韩国将近 5 万台计算机和服务器，影响时间达到几天，范围包括了 5 家银行和电视台。

黑客们很有耐心，他们花了 9 个月时间摸清了韩国的计算机系统。但他们也犯了和索尼攻击中一样的错误，在某个环节上泄露了 IP 地址，而韩国分析师认为，这些 IP 地址都是真实的地址。高丽大学（Korea University）信息安全学院院长林钟仁（Lim Jong-in）说，他们追踪那些 IP 地址追到了沈阳，最后目标被锁定在了和朝鲜公司有关的 IP 地址上。

美国情报机构也在研究对韩国的那次攻击。但当朝鲜去年 6 月发布针对索尼电影的警告以后，美国官员在和索尼高管谈话时，似乎并没有涉及到它被攻击的风险。据一位参与了调查的人员称，甚至当 9 月份针对索尼和其他目标的鱼叉式网络钓鱼开始时，“都没有引起相关方面的重视”。

结果就是直到 11 月份破坏性的攻击开始时，美国官方才开始关注此事，而此时，骷髅和索尼高管被斩首的恐怖图片已经出现在了索尼员工的电脑屏幕上。（黑客明目张胆的宣传行动可能让索尼获得了一些好处：一些员工当即切断了电脑电源，使得一些数据未遭到破坏。）

官员们说，美国官方并没有花太长时间，就确证了攻击来源是朝鲜。但白宫一位官员说：“想明白该如何回应，却是一件困难得多的事。”

 

翻译 is译社 葛仲君