去年試圖黑高麗大學資訊保護研究生院電子郵件帳目的駭客,是將伺服器設在臺灣的朝鮮帳戶。此前一直推定是朝鮮所為的事實首次被確認。
16日,高麗大學的相關人士表示:“國防部和國家情報院事先掌握的一朝鮮的海外帳戶,最先發出了有問題的E-mail”,“就像事件發生後所擔心的那樣,朝鮮為了竊取情報試圖進行駭客行動。”
去年11月,高麗大學資訊保護研究生院通過研究生院內部的電子郵件帳目(cist . korea . ac . kr),確認了是通過五十名畢業生集體散佈包含惡意程式碼的E-mail的事實後,國情院、國防部聯合展開了調查。對位址進行了逆向追蹤,發現有問題的電子郵件是從朝鮮平時使用的臺灣伺服器中發出的。朝鮮在中國、臺灣、香港、俄羅斯等海外國家設了數百個伺服器,是就連朝鮮人民武力部下屬偵察總局內部的追蹤駭客部隊隊員們都難以追蹤到的,是以數次經由此伺服器的方式進行了駭客。
此次試圖進行駭客的組織,與去年5月集體給陸軍士官學校同窗們發駭客郵件的是同一組織。去年5月,發現把包含惡意程式碼的E-mail發給了60多名陸軍士官學校的軍官後,韓國國防部對位址進行了逆向追蹤,結果表示:“這與去年3•4分散式攻擊時朝鮮所使用的中國IP相同。”
研究生院的一位有關負責人表示:“利用了版本相對較低的“韓文2002”製作了惡意程式碼,都是通過給下一個郵箱帳號傳送E-mail的方式進行駭客,推斷這是同一組織所為。”
有問題的惡性編碼會感染PC,獲取使用者通過郵件接收的資料,幸好當時接到電子郵件的畢業生都沒有打開檔,再加上惡性代碼本身也有製造缺陷,只要沒有正常啟動是不會引起第二次感染的。當時,分析惡意程式碼的研究生院的一位有關負責人表示:“因為惡意程式碼是用‘韓文2002’的版本製作的,所以存在互換性的問題。”他還表示:“朝鮮駭客勢力也知道韓國政府機構多使用‘韓文2002’版本,所以是故意利用‘韓文2002’版本製作了惡意程式碼。”
學校方面關閉了研究生使用的E-mail伺服器,使用了防火牆及保安管理設施較完備的高麗大學帳目。在發生試圖進行駭客事件後,加強了伺服器監測和以內部人員為對象的保安教育。
國內一家保安業界有關負責人表示:“最近在國內接連發現朝鮮駭客部隊製作的惡性代碼樣本。”他還表示:“為了抗衡朝鮮有組織的駭客,當務之急是確保網路攻擊及防禦手段”。
金智賢 jhk85@donga.com