GPKI 泄露事件：数字“万能钥匙”失窃，我们真正需要的是“零信任”

这次 GPKI 泄露事件清楚地暴露了旧的防御模式的局限性。

这次 GPKI 泄露事件不仅仅是一起“事件”。它彻底暴露了我国数字基础设施存在多么根本和结构性的脆弱性，是一个重要的转折点。

深入分析这次攻击，核心的失败点非常明显：我们过度依赖老旧的“边界防御”，认证体系薄弱，而最重要的内部网络却处于“黑箱”状态，没人知道谁在里面活动。

因此，本报告不只是讲述“被攻击”的经历。它提出了四项核心策略：全面转向“零信任架构”，通过 XDR 进行全方位监控，引入能防御 AiTM 等最新网络钓鱼的认证方式，以及基于威胁情报的主动防御。要恢复被破坏的数字信任，保护我们的网络主权，这确实是一项亟待推进的战略任务。

第一部分：究竟是谁，如何闯入我们家？

本章将逐步回顾攻击是如何发生的，攻击者是谁，以及为什么查明幕后主使如此复杂。

1.1 威胁行为者画像：Kimsuky (APT43) 及其行动

幕后与任务：犯罪嫌疑人似乎是名为“Kimsuky”或“APT43”的组织。他们是受朝鲜侦察总局 (RGB) 指挥的国家支持的黑客组织。主要任务是为朝鲜的地缘政治和军事目标窃取战略信息。
TTPs（战术、技术、过程）的演变：不能只想着以前那种攻击 HWP 文件的方式了。他们现在非常狡猾，使用 MS Office 文档、CHM、LNK，甚至 ONE 文件……利用各种工具进行精密的目标性网络钓鱼。我们防御，他们就寻找其他途径，这是不断适应的结果。
双重任务（情报 + 资金筹集）：这确实是个棘手的问题。APT43 的最大特点是，他们也从事“赚钱”的网络犯罪，比如窃取加密货币。如果其他组织（APT38）是为了国家资金，那他们就是在为自己的情报活动费用赚钱。这也就是说，他们不依赖国家直接支持，制裁也很难阻止……他们创造了一个自给自足、非常有持续性的作战模式。
朝鲜网络组织间的合作：根据 Mandiant 的信息，他们不是独自行动。他们与其他朝鲜黑客组织共享基础设施或工具。这意味着有国家层面的协调战略。

Kimsuky 的作战模式是国家情报机构和有组织犯罪团伙的危险混合体。数据表明他们的主要目标是国家支持的情报活动，但同时他们通过窃取加密货币来为自己筹集作战资金。传统的国家行为者依靠预算，而犯罪组织则自给自足。将两者结合起来，就创造了一个非常有韧性和可持续的作战循环。他们通过网络犯罪赚钱，购买基础设施，然后进行情报活动，在此过程中寻找其他有利可图的目标。这就是他们难以阻止的原因。不能仅仅切断国家背后的资金来源，而是需要双重战略，将他们视为“国家安全威胁”同时也是“犯罪企业”，并切断他们的收入来源。

1.2 攻击流程重构：城门被破，“数字万能钥匙”被窃

让我们按时间顺序回顾一下攻击是如何发生的。

首次访问（数字前门攻击）：攻击者利用了名为“Ivanti Connect Secure”的远程访问 VPN 设备的已知安全漏洞。VPN 本身就暴露在互联网上，对这些寻找漏洞的国家支持的黑客来说，简直是“宝地”。他们似乎利用一系列漏洞获得了初始访问权限。
建立据点（命令与控制）：一旦进入内部，他们就植入了**“Cobalt Strike”框架。这原本是专家渗透测试工具，但被黑客广泛用于通过“Beacon”持续发送命令（C2），远程控制受感染的系统，并窃取数据**。他们在这里建立了自己的“基地”。
权限提升和账户窃取（AiTM 网络钓鱼活动）：接着，他们需要公务员的账户信息。这时，他们使用了名为**“中间人攻击 (AiTM)”** 的极其精密的网络钓鱼技术。这不仅仅是一个假网站。它在用户和真实的登录页面之间创建一个代理，从而窃取用户名、密码，甚至是通过 MFA（多因素认证）后的“会话 cookie”。攻击者就这样完美伪装成该公务员，获得了认证访问权限。

中间人攻击 (AiTM)
达成目标（GPKI 证书泄露）：掌握了合法账户权限的攻击者，在政府内网中随意活动。他们的最终目标是什么？是**“政府公钥基础设施 (GPKI)”系统**。攻击者电脑上出现 136백운규001_env.key 这样的真实 GPKI 文件，是数字证书被盗的确凿证据。

政府公钥基础设施 (GPKI) 系统
维持持久性与规避检测：最后，为了以后还能再次进入，他们安装了自己专属的“秘密通道（后门）”，并为了躲避安全工具，还安装了隐藏在操作系统深处的“隐形斗篷（内核级 Rootkit）”。

攻击从利用 VPN 漏洞开始，经过 AiTM 网络钓鱼，最终目标是窃取 GPKI 证书。

1.3 关于幕后的困境：中国的影子

然而，这里出现了一些奇怪的地方。攻击技术明显是 Kimsuky 的，但经过取证，发现了重大异常迹象。

地理位置：C2 服务器或 접속点位于中国。
语言：攻击者使用了将韩语文档翻译成中文的工具，系统中也发现了中文文件。
活动时间：活动模式（工作时间、节假日）更接近中国的办公时间，而非朝鲜。

这到底是怎么回事？出现了几种假设：

假设 1（经过中国）：朝鲜黑客可能在中国（例如丹东）建立了据点并进行活动，因为那里的互联网基础设施更好，作战环境更方便。这是最简单的解释。
假设 2（伪装行动，False Flag）：或者，可能是技术高超的中国黑客组织故意模仿 Kimsuky 的 TTPs，以混淆视听，嫁祸于朝鲜。
假设 3（合作或外包）：也可能是朝鲜与中国情报部门的联合行动，或者朝鲜将任务外包给了中国的黑客雇佣兵。事实上，不同国家支持的组织之间的合作呈日益增长的趋势。

我认为，这种**“追查幕后主使的战略模糊性”** 不仅仅是分析的困难，而可能是一种故意的战术。如此高水平的黑客不可能不知道如何隐藏自己的痕迹。留下这些相互矛盾的证据，恐怕不是偶然。

这种模糊性带来的效果很明显：它延缓了受害国的应对，使其变得复杂。大韩民国政府究竟应该向哪个国家提出外交抗议？应该制裁谁？如何与盟友协调？最终，攻击者将“追查幕后主使的过程”本身作为武器。它加剧了不确定性，延缓了应对，并挑拨了国家间的矛盾。

因此，我们的防御策略不应纠结于“谁发动的攻击”，而应专注于技术防御和损害恢复，无论幕后是谁，即建立一种**“不纠结于追查幕后主使（attribution-agnostic）”** 的恢复能力。

第二部分：为何束手无策？（系统性失败与数字信任危机）

现在，让我们将焦点从“发生了什么”转移到“为什么会发生”。我们将深入探讨构成攻击成功基础的我们系统存在的根本性问题。

2.1 崩塌的边界：“城堡与护城河”防御模式的虚幻

单点故障（Single Point of Failure）：我们的整体安全模型，打个比方，是**“城堡与护城河（Castle and Moat）”** 模型。它认为，只要强大的“边界”（在这里是 VPN 网关）足够坚固，就能保护“内部”可信网络的安全。但是，一旦这座城门（VPN）被攻破，就彻底完蛋了。这证明了，这个边界并非坚固的城墙，而只是一个容易被攻破的“屏障”。
默示信任（攻击者最大的帮凶）：一旦进入内部，攻击者通常会在“受信任”的环境中活动。传统的安全态势并没有设计得像仔细监控外部流量那样，去仔细监控内部流量。“一旦进来了就是自己人”的这种默示信任，成为了攻击者能够以最小的阻力**“水平移动（lateral movement）”，朝着目标（GPKI）前进的最大帮凶。“内部是安全的”这个核心假设，是一个危险且过时的想法**。

2.2 认证的真空：最新网络钓鱼如何使传统 MFA 失效

对 MFA 安全的幻想：“我们有 MFA（多因素认证），所以没问题。” 你是否曾这样想？那是个幻想。这次攻击表明，我们对最新的网络钓鱼威胁了解有多少是错误的。短信或应用程序 MFA 可以阻止简单的密码泄露，但对于 1.2 节提到的 AiTM（中间人攻击）等实时会话劫持攻击，则无能为力。
AiTM 的技术分析：攻击者的网络钓鱼网站充当了“代理”。它将受害者的账户信息和 MFA 请求透明地转发给真实网站。一旦受害者成功认证，代理就窃取了由此生成的“会话 cookie”。这个 cookie，而非密码，才是证明已认证会话的“钥匙”。通过窃取它，MFA 本身就被绕过了。
政府承认失败：政府后来推出了增加 ARS 电话认证作为应对措施。这实际上承认了现有 MFA 的不足。但说实话，这只是权宜之计。更复杂的攻击甚至可以自动化这种电话认证。

2.3 城墙内的黑暗：内部可见性和控制能力的致命缺失

未被探测到的水平移动：更糟糕的是，攻击者在从首次访问点（VPN 服务器）到最终目标（GPKI 系统）的整个过程中横行霸道……却没人发现。这意味着内部网络监控和分段（segmentation）工作严重缺失。只关注边界防御的传统安全工具，在监控网络内部横向移动（east-west）流量方面，其局限性非常明显。
EDR/XDR 的必要性：由于缺乏 EDR（端点检测与响应）或 XDR（扩展检测与响应）解决方案，安全团队没有“眼睛”来识别受感染设备上运行的恶意进程（例如 Cobalt Strike Beacon）或内部异常的网络连接。这简直是城里已经进了贼，但却没有守卫。

2.4 根本性威胁：公钥基础设施（PKI）被攻破的连锁反应

超越间谍活动，系统性破坏的威胁：GPKI 证书被盗，这不仅仅是信息泄露。这就像掌握了可以引发大规模混乱的“武器”。GPKI 系统是所有数字政府活动可信度的“根基”。
潜在攻击场景：拥有这个“数字万能钥匙”的敌对势力，会做些什么呢？
1. 冒充所有公务员：发出虚假指令，用“真实”签名分发虚假公文，并访问所有需要 GPKI 认证的系统。
2. 散布虚假信息：为了引发社会恐慌或操纵金融市场，可以伪造“官方”公共警报或新闻稿并“正式”分发。
3. 破坏关键基础设施：如果，万一 GPKI 证书被用于访问国家基础设施（电力、供水、交通等）的控制系统（ICS/SCADA）呢？这将导致灾难性的后果，可能引发物理破坏。
4. 公共信任崩溃：仅仅是系统被攻破的事实，就足以动摇民众对数字政府服务的信任根基，导致人们拒绝与国家进行数字交流。政府承认被攻击本身就证明了这种威胁的真实性。

GPKI 被攻破，将威胁的本质从被动的“信息收集”提升到主动的“国家级操纵”。传统黑客是窃取数据的间谍活动，其价值在于攻击者“知道了什么”。但是，GPKI 系统是政府数字活动的真实性和完整性的保障基础。窃取 GPKI 密钥，意味着获得的不仅仅是阅读文件的能力，更是作为合法政府编写和批准文件的能力。

这意味着攻击者可以直接影响国家权力的核心要素——“信息”和“军事”领域。因为他们可以发出可信的虚假指令。因此，这超越了网络安全，是战略层面的威胁，是信息战和通过数字手段引发物理效应的明显国家安全危机。所以，应对此事，不应由 IT 部门主导，而应由国家安全最高领导层来主导。

第三部分：蓝图——现状不可取，如何改变？

那么，我们该如何解决第二部分中指出的这些糟糕的失败因素呢？这里将展示一个利用现代安全理念，全面、多层次防御策略的蓝图。

3.1 强制实施零信任（Zero Trust）：新的安全范式

核心理念：“绝不信任，永远验证”：直说吧。应该立即废弃失败的“城堡围墙”模型，并引入零信任架构（ZTA）。这种理念假定网络“已经被攻破”。并且，无论网络位置（内部还是外部），它强制对所有访问资源的请求进行极其严格的验证，针对所有用户、所有设备、所有应用程序。
与国家政策对接：庆幸的是，这不是空谈。这与韩国政府已发布的“零信任指南 1.0”或包含实施成熟度模型的“2.0”版本战略方向完全一致。问题在于“执行”。
核心实施要素：
- 身份（Identity）：所有用户（人与设备）都必须经过强大且“持续”的身份验证。一次登录并不代表结束。
- 设备（Devices）：所有设备都必须被列入清单，并在允许访问前验证其安全状态（补丁级别、运行程序等）。
- 网络（Network）：网络被视为“敌对空间”。所有流量都必须加密，并且为了阻止横向移动，必须将网络细分（参见 3.3 节）。
- 最小权限访问（Least-Privilege Access）：用户和应用程序只能被授予执行功能所需的“绝对最小”权限，并且仅在“最短时间内”。

表 1：安全模型对比分析 这个表格非常清晰地展示了我们为何必须改变。

特征传统边界模型（过去）零信任架构（现在/未来）

核心理念 “信任，但验证” “绝不信任，永远验证”

安全焦点 边界（网络外部）数据、资产、资源（无处不在）

网络假设 “内部”是安全和可信的网络始终是敌对的，已被侵入

主要防线 防火墙、VPN、IDS/IPS 强大的身份认证、设备验证、微隔离

访问控制 允许广泛的网络访问（偏向内部用户）最小权限和细粒度访问（所有请求）

最大弱点 内部用户威胁和横向移动复杂的实施和策略管理（可通过技术克服）

特征	传统边界模型（过去）	零信任架构（现在/未来）
核心理念	“信任，但验证”	“绝不信任，永远验证”
安全焦点	边界（网络外部）	数据、资产、资源（无处不在）
网络假设	“内部”是安全和可信的	网络始终是敌对的，已被侵入
主要防线	防火墙、VPN、IDS/IPS	强大的身份认证、设备验证、微隔离
访问控制	允许广泛的网络访问（偏向内部用户）	最小权限和细粒度访问（所有请求）
最大弱点	内部用户威胁和横向移动	复杂的实施和策略管理（可通过技术克服）

3.2 通过 XDR 实现全方位可见性和自动化响应

安全堆栈集成：要强制实施零信任，首先必须“看见”。必须知道发生了什么才能阻止。**XDR（扩展检测与响应）**平台会收集来自终端（EDR）、网络、云、电子邮件、身份系统等所有安全层的数据，并将它们关联起来，从而提供这种“可见性”。
AI 驱动的威胁追踪（Threat Hunting）：XDR 利用 AI 和机器学习分析这些海量数据。然后，就像 GPKI 被攻破事件中一样，自动检测试图“横向移动”的细微模式或异常迹象。“嗯？这有点不对劲？”机器会捕捉到这些。这会将防御策略从事后响应转变为事前预防。
自动化响应剧本：一旦检测到威胁，XDR 就可以按照预先编写好的剧本（剧本）执行自动响应。例如，一旦检测到 Cobalt Strike 信标，系统就会自动将感染的设备从网络隔离，阻止 C2 通信，并禁用该用户帐户。这些操作将在短短几秒内完成。这在极大地缩短响应时间、抑制攻击方面起着决定性作用。

3.3 防止攻击蔓延：实施微隔离

在城墙内部再建墙：这一点也非常非常重要。“微隔离”是将零信任原则实际应用于网络的关键技术。简单来说，就是将网络细分到单个应用程序或工作负载级别，将其划分为隔离的区域。
阻止横向移动：这些区域之间的通信默认是“全部阻止”，只有通过明确的策略才允许。如果应用了这项技术呢？即使攻击者攻破了 VPN 服务器，他们也根本无法访问 GPKI 系统所在的区域。因为两个区域之间没有合法的流量路径。这项技术可以将事故造成的损失限制在小范围内，从而有效防止小规模入侵演变成灾难性的失败。不能让一个门被攻破，整个房子都遭殃。

3.4 构建防钓鱼基础设施：FIDO/WebAuthn 引入的必然性

应对 AiTM 的技术解决方案：那么，如何才能有效阻止那种狡猾的 AiTM 钓鱼呢？答案是FIDO/WebAuthn 标准，它提供了技术解决方案。
工作原理：注册时，用户设备（硬件安全密钥或智能手机）会生成一对唯一的加密密钥（公钥/私钥）。私钥绝不会离开该设备。登录时，服务器会发送一个“挑战”（Challenge），设备用私钥对其进行签名并发送。服务器使用公钥进行验证：“哦，是这个人。”
抗钓鱼性：这个加密密钥与合法网站的“域名”绑定。因此，其他域名的钓鱼网站无法请求有效的签名。用户设备根本不会响应。这在密码学上就使 AiTM 攻击链失效了。所有重要政府系统都“必须”采用此技术。政府计划通过生物识别移动身份证来前进，也是朝这个方向的积极信号。
一种完全消除了“可共享秘密信息”，如密码或一次性代码的系统

3.5 加强基础设施安全：通过 SBOM 强制执行软件供应链完整性

解决根本原因：想一想，这次事件的最初起因是第三方软件产品（Ivanti VPN）的漏洞。我们自己没做的程序导致了所有被攻破。必须解决软件供应链中固有的巨大风险。
SBOM 的作用：SBOM（软件物料清单），顾名思义，是软件中所有组件、库、依赖项的正式列表。
强制透明化：政府必须将提交 SBOM 作为采购条件，强制所有软件供应商提供。这样，当出现新的漏洞（如 Ivanti 案例）时，我们的安全团队就可以立即查询 SBOM 数据库，了解“啊！政府内的这个系统、那个系统使用了那个组件！”，然后迅速打上补丁。这符合美国和欧盟的全球趋势，并且已经有国内指南。
SBOM（软件物料清单）

3.6 培养战斗准备人员：敌对模拟与人才培养

超越合规，达到战斗准备状态：仅仅依靠技术是不够的。最终还是人。安全不是文件工作或理论训练就能结束的。政府必须运行现实且持续的敌对模拟（红队对蓝队训练）项目。
- 红队（Red Team）：使用与 Kimsuky 相同的 TTP，实际攻击和测试我们的防御体系的团队。
- 蓝队（Blue Team）：负责检测和阻止红队攻击的内部安全团队。
- 紫队（Purple Team）：协助两者之间的沟通，吸取教训并改进防御体系。
利用国家训练计划：除了内部训练，还应积极参与政府主导的网络危机应对模拟演习，通过黑客邮件、DDoS 等各种场景进行跨部门合作。
投资人力资本：“国家网络安全战略”或“网络人才万名培养计划”都很好。必须有强大的国家战略来培养真正意义上的精英网络安全人才。我们需要真正“会战斗”的人才。这包括大学课程、实战训练中心，以及为公共部门安全专家开发明确的职业发展路径。

3.7 集体防御：加强国内外威胁情报共享体系

优化 C-TAS 系统：最后，我们不能独自承受。网络威胁情报分析与共享系统（C-TAS）应成为国家威胁情报的枢纽。系统必须得到加强，以便以机器可读的格式“自动”向所有政府机构和关键基础设施合作伙伴分发 GPKI 被攻破等事故中提取的 IoC（攻击指标）和 TTP（战术、技术和程序）。数据的质量、及时性和“可操作性”至关重要。
加强国际合作：国家支持的攻击是全球性问题。韩国应深化与盟国的威胁情报共享伙伴关系。需要获得对新攻击活动的早期预警，共享威胁行为者分析，并协调外交和执法应对。
网络威胁情报分析与共享系统（C-TAS）

结论：惨痛的教训，以及必须立即开始的战略任务

总结一下。这次 GPKI 侵权事件是一个非常痛苦的教训。我们综合分析后认为，这只是更深层结构性弊病的“症状”。这不能仅靠修修补补来解决，必须改变其结构。

因此，我为国家领导层整理了用于现代化我们网络防御态势的战略性优先任务。

紧急优先任务（0-6个月）：
- 必须立即强制所有高风险账户和重要系统采用抗钓鱼 MFA（FIDO/WebAuthn）。
- 必须开始对所有连接到互联网的系统进行紧急审计，并下令立即修复已知漏洞。
- 必须加快向所有政府终端和服务器部署EDR/XDR 解决方案。
中期优先任务（6-24个月）：
- 以国家指导方针为蓝图，正式采纳全政府范围的零信任架构，并开始分阶段实施。
- 应首先保护 GPKI 等核心关键资产，然后实现网络微细分段。
- 必须强制要求所有新的软件采购合同提交 SBOM。
长期战略任务（24个月以上）：
- 必须成立常设的全政府红队，以提供持续的对抗性测试。
- 必须全面支持并执行国家网络安全人才发展战略，以建立可持续的防御人才梯队。
- 应深化与国家支持的威胁行为者相关的国际信息共享协议。

参考资料

Mandiant identifies North Korea-linked APT43 cyber operator using cybercrime to fund espionage operations (Industrial Cyber)
Assessed Cyber Structure and Alignments of North Korea in 2023 (Mandiant / Google Cloud)
电影里的黑客场景成真？“忽视国家基础设施网络安全就是放弃国民生命” (安全新闻)
APT43: North Korean Group Uses Cybercrime to Fund … (Google)
Kimsuky 集团 AppleSeed 恶意软件攻击趋势分析 (AhnLab ASEC)
分析 Kimsuky 利用 GitHub 作为攻击基础设施的最新国内攻击案例 (Enki Whitehat)
2021 年 Kimsuky 集团如何运作 (AhnLab)
Kimsuky 集团又分发了另一种恶意软件 (AhnLab)
发现 Kimsuky 冒充外国媒体采访请求的攻击 (韩国财政信息员)
Kimsuky 集团“BlueShark”威胁战术分析 (Genians)
“公务员工作系统‘On Nara’·GPKI 认证有黑客痕迹”…加强安全 (Daum / 联合新闻)
10% 的青少年表示“被假新闻欺骗”…人工智能时代的信任崩溃 (ZDNet Korea)
EDR/XDR（端点/扩展检测与响应）(ITPE / JackerLab)
63% 的企业表示“为阻止勒索软件扩散而进行‘微细分段’…” (IT Daily)
网络安全 101：微细分段 (Illumio)
什么是微细分段？(Palo Alto Networks)
软件供应链安全指南 1.0 (韩国互联网振兴院)
\[论文\]网络威胁情报共享体系研究 (ScienceOn / KISTI)
蓝队和红队的模拟战争，交换角色提高效果 (安全新闻)
狙击偏见“红队”(LG经济研究院)
FIDO1 和 FIDO2 的区别 (tech.sungbinlee.dev)
政府信任和公共政策摘要 (比利时欧盟大韩民国大使馆)
XDR（扩展检测与响应）的概念和下一代安全技术 (creeraria.tistory.com)
什么是 FIDO 认证？欢迎来到无密码时代 (Authme)
国家网络安全战略 (CCDCOE)
提高信息安全产业全球竞争力的战略 (科技人才政策平台)
\[韩国被攻击\]“Kimsuky”攻击了什么，如何攻击的？(安全新闻)
与朝鲜黑客相关的赌博网站案件调查结果 (大检察厅)