2
朝鮮黑客一直是世界各大安全公司的重點研究目標,2017年4月底,賽門鐵克就曾發布過一個報告,認為朝鮮網絡攻擊集團對世界多國銀行發動了攻擊,并預測其竊取資金超過一千億韓元(折合人民幣6.13億元)。
同時,還列出證據表明,朝鮮網絡攻擊的目標包括孟加拉國、越南、厄瓜多爾、波蘭等國銀行,目前已經從這些國家的銀行盜竊了至少 9400 萬美元。
一年之后,雷鋒網發現,又一知名安全公司邁克菲(McAfee)也同樣在4月底發布報告,再次挖出了朝鮮黑客的不少黑料。McAfee 高級威脅研究團隊指出,經過長期的跟蹤研究,一項名為 Operation GhostSecret 的大型黑客活動疑似與朝鮮政府支持的黑客組織 Lazarus 有關,因為攻擊中使用了與該組織有關的各種工具和惡意程序。
Lazarus 你是不是聽著有些耳熟?對,就是那個曾對索尼影業公司進行摧毀性攻擊、從孟加拉央行盜取8100萬美元、被認為是 WannaCry 的重要幕后黑手的黑客團伙 Lazarus 。
研究人員最初以為, Operation GhostSecret 只是 3 月初發生在幾個土耳其金融機構和政府組織的大規模網絡攻擊,但 McAfee 的報告顯示,這個攻擊實際上波及了 17 個國家。背后攻擊者瞄準關鍵基礎設施、娛樂、金融、醫療保健和電信等多個行業,竊取業內敏感數據,目前依舊活躍。
這個判斷并非是空穴來風的推測,而是有了實錘,這個實錘就是找到了黑客所用的服務器的藏身之地!
據外媒 SecurityAffairs 的消息,泰國當局在 ThaiCERT(相當于泰國的國家互聯網應急響應中心)與邁克菲(McAfee)的協助下,找到了朝鮮 APT 組織 Hidden Cobra 使用的服務器。
泰國當局發現,這臺服務器居然藏在一所泰國大學里,2014 年朝鮮黑客就借助這臺服務器讓索尼影業大量郵件和電影拷貝曝光。
在今年的 3 月 15 日至 19 日,美國、澳大利亞、日本和中國的服務器多次受到感染。泰國近 50 臺服務器更是受到惡意軟件的嚴重打擊,是所有國家中受到攻擊最嚴重的,也是出自這個服務器。
據悉,該服務器當年是 Hidden Cobra 發動 GhostSecret 攻擊時的指揮和控制中樞。如果沒有邁克菲專家在全球范圍內的不懈分析與調查,這臺服務器恐怕還安靜的躺在泰國那所大學中。
我們對 GhostSecret 攻擊的調查顯示,黑客當時用了多個惡意軟件進行植入,其中包括性能與 Bankshot 類似的軟件。在 3 月 18 日到 26 日的調查中,我們發現惡意軟件其實分布在全球多個地方,這種新型變種在許多地方都與惡意軟件 Destover 類似,后者就是 2014 年讓索尼營業元氣大傷的罪魁禍首。
McAfee 在對控制服務器設施進行進一步調查后發現,與控制服務器203[.]131[.]222[.]83 捆綁的 SSL 證書 d0cb9b2d4809575e1bc1f4657e0eb56f307c7a76 在 2018 年 2 月的一次植入中也用到了,而這臺服務器屬于泰國法政大學。索尼影業被攻擊后,Hidden Cobra 就一直在使用這一 SSL 證書。
泰國是 Destover 變種感染的重災區
雷鋒網發現,ThaiCERT 發布的一份安全公告指出,GhostSecret 攻擊今年 2 月份重出江湖。邁克菲也發現了三個屬于法政大學的 IP 地址(203.131.222.95、203.131.222.109、203.131.222.83),它們與攻擊脫不了干系。
可怕的是,現在這場攻擊還處在進行時。
邁克菲表示,GhostSecret 是一場全球范圍的數據偵查項目,它針對的是關鍵基礎設施、娛樂、金融、醫療保健和通訊等。攻擊背后的黑客用上了多種植入物、工具和惡意軟件變種,其手法與當年的 Hidden Cobra 如出一轍。
與此同時,McAfee 高級威脅研究團隊還發現了一個未登記在案的植入物 Proxysvc,2017 年年中它就開始偷偷禍害別人了。
眼下,ThaiCERT 正聯合當地政府與邁克菲分析這臺服務器中的內容,不知它們是否還能挖出什么驚天大秘密。
雷鋒網 Via. SecurityAffairs
相關文章:探秘 | 比朝鮮核武器更炸裂更神秘的,是朝鮮黑客部隊
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
