朝鲜电信功能分3层。大部分普通民众既没有互联网服务，也不能上朝鲜内网，他们只有国内提供商高丽电信(Koryolink)提供的移动电话语音、短信和图片/视频消息服务。
 

　　包括大学生、科学家和一些政府官员的一小部分人，可以上国有朝鲜内网“光明网(Kwangmyong)”，连接图书馆、大学和政府部门，由有限的国内网站构成。

　　另一个小得多的群体——统治精英，则可在互联网上畅通无阻。2017年4月1日至7月6日，事件发展预测公司 Recorded Future 分析了这一小撮高官的互联网流量，认为大众对朝鲜的标准认知不完全准确：至少，其领导阶层是与其他地方接轨的。

　　在7月26号发布的与 Team Cymru 合著的分析报告中，Recorded Future 指出，朝鲜领导阶层的互联网活动与世界其他地方的互联网活动几乎没有差别。

　　朝鲜人大部分网上时间也用来查看社交媒体，搜索网页，浏览亚马逊和阿里巴巴。Facebook是朝鲜人使用最广泛的社交网站，尽管有报道说推特、YouTube和其他一些社交网站在2016年4月1日被朝鲜审查组织封禁了。

　　研究人员试图找出朝鲜互联网活动与其导弹测试的关联;然而什么都没找到。虽然强调研究数据样本太少而不具确定性，该报告称：“即便朝鲜网络活动与导弹测试有关，也不是通过其领导阶层和统治精英的互联网行为透露出来的。”

　　然而，很明显的是，基本上没有任何恶意网络活动是直接来自朝鲜本土的，“大部分国家支持的活动是在境外作案。”尽管这么做有其优势，但也展现出了操作上的弱点，可被利用来给金家政权施加非对称压力。理论上而言，在国界外操作，国家黑客应更容易被检测到，也更容易被诉要为其行为负责。

　　大多数海外恶意活动可能来自于朝鲜人出没较多的国家：印度、马来西亚、新西兰、尼泊尔、肯尼亚、莫桑比克和印度尼西亚。中国不在此列，因为中朝关系特殊，且中国与西方的直接合作可能性也较低——即便10%的朝鲜网络活动都是与中国的互动。

　　这一比率跟印朝网络互动比率一比，就相形见绌了。该观察期内朝鲜与印度的网络往来几乎占了其网络活动的1/5，该数字有力支持了朝鲜与印度间外交和贸易关系日益密切的报道。

　　因为几乎没有恶意活动来自朝鲜本土，该报告不能得出相关网络威胁的结论。尽管如此，报告称，“有小部分活动是高度可疑的。其中一个例子，就是5月17号朝鲜用户开始比特币挖矿活动了。”

　　该活动与WannaCry的时间关联非常明显。“在5月WannaCry勒索软件攻击之后很快就开始了，NSA将WannaCry归因到朝鲜的情报机构侦察总局(RGB)，视为为金氏王朝筹集资金的举动。至此(5月17日)，政府黑客们可能已经意识到，从3个WannaCry勒索账户转移比特币很容易被追踪，不利于他们保留否认攻击的立场。”

　　言下之意就是，比特币挖矿被选来代替WannaCry勒索软件没能收到的资金。不过，乔·卡森提出的WannaCry是比特币市场操纵手法的思路，也是值得综合考虑的。

　　Team Cymru 的情报和 Recorded Future 的分析，揭示了2个独立的现实。其一，完全隔绝朝鲜的尝试不会有效。其二，想要对当前金氏王朝造成持久的不利影响，需要有不专注于平壤和朝鲜境内的新工具。这可以通过与目前跟朝鲜有互联网连接的国家合作来实现，比如印度、马来西亚、印度尼西亚和新西兰。

　　同时，报告建议，金融服务公司和支持美韩萨德部署的各方，以及在半岛运营的组织，保持对其网络及朝鲜半岛运营那已升温的威胁环境最高程度的警惕与认知。

　　报告下载：

　　https://go.recordedfuture.com/hubfs/north-korea-internet-activity.pdf

(责任编辑：宋编辑)