狡猾的犯罪者能將現場處理干凈,甚至故意留下虛假線索嫁禍他人,探案者稍稍疏忽,就可能被套路,然而精湛的偵探卻總能在蛛絲馬跡中找到破案線索。
偵探與罪犯的這一套邏輯,在黑客的世界同樣適用。對網絡安全稍有常識的人都知道,僅根據單一的線索,比如黑客襲擊的來源地來判斷黑客所在地,是完全不靠譜的 —— 稍有經驗的黑客攻擊者都能擾亂線索,藏匿身份并嫁禍于人。因此定位黑客和偵察案件一樣,是一場技術和謀略的較量。
前不久雷鋒網報道了一則《3/4的勒索軟件都是“說俄語的人”做的!》的新聞,其中外媒softpedia表示,75%的勒索軟件都是由說俄語的網絡罪犯搞出來的。
當時卡巴斯基實驗室的分析員表示,他們發現的62個加密勒索軟件家族中,47個由俄羅斯人或說俄語的人開發。他們無法解釋為什么那么多勒索軟件族譜都有“俄羅斯血統”,猜測可能是因為俄羅斯及周邊國家熟悉代碼編寫的人比較多。
然而近日英國的一家威脅研究機構BAE系統公司最近發布了一篇博文讓人大跌眼鏡:“有人蓄意將惡意軟件翻譯成俄羅斯語,以嫁禍俄羅斯人! ”。
情節反轉,俄羅斯遭蓄意嫁禍?
據雷鋒網宅客頻道了解,事情是這樣的:BAE Systems公司的研究人員最近得到了幾份針對全球31個國家的104家金融機構發起攻擊的惡意軟件樣本。他們發現,雖然里面有許多俄文,但是許多語句看起來狗屁不通,許多單詞都牛頭不對馬嘴,看起來像是有人故意用翻譯軟件將語言翻譯成俄文的。
舉個例子,在惡意軟件樣本中有一個這樣的詞:“kliyent2podklyuchit” ,分析人員用逆向工程翻譯成英文就是:“client2connect" (客戶端連接)。眼尖的分析人員一下就看出端倪,真正的俄羅斯本地人絕不會用“kliyent”這樣的單詞!在實際當中,說俄語的人通常會使用“client" 或者”Klient",但絕不會用蹩腳的“kliyent"。
經過分析他發現,很可能是嫁禍者在使用在線翻譯工具,將軟件語言翻譯成俄文時,犯了一個錯誤,他把俄文底下的發音誤認為是單詞了。
這就好比嫁禍者把“client”翻譯成中文“ kehu (客戶)”,然后想當然地認為中國的開發者會用 “ kehu ”來表示客戶端一樣,實際上我們的開發者并不會這么去做。
分析人員發現,類似的錯誤比比皆是,由此可以斷定,有人故意使用俄羅斯語言以嫁禍他人或者混淆視聽。
矛頭直指一知名黑客組織
分析人員表示,通過對此次惡意軟件樣本進行分析,已有一定技術性證據表明該次攻擊活動和一個叫做“ Lazarus Group”的黑客組織有關。
Lazarus Group是誰?
據雷鋒網了解,該組織至少自2009年就開始活動,且多年來一直在對韓國及美國的各政府機構及私人組織發動各類攻擊。
2014年索尼電影娛樂公司遭遇攻擊,導致大量敏感數據外泄。FBI及其它美國情報部門當時將這一襲擊活動歸咎于朝鮮政府。(因為當時索尼娛樂公司當時正準備上映一部叫《刺殺金正恩》的電影,疑被報復),其后人們發現那起攻擊和Lazarus Group有關。
2016年, Lazarus Group發動了一次攻擊,洗劫了孟加拉中央銀行8100萬美元。在那次攻擊活動中,黑客利用惡意軟件操縱銀行使用的計算機設備,試圖轉移的資金總額高達9億5100萬美元,但其中一部分被發現后由銀行方面進行了恢復,因此搞到了8100萬美元 。有趣的是,據國際新聞報道,當時黑客攻擊被發現,也是因為“黑客拼錯一個英文單詞”。
前不久發生的一起針對波蘭多家銀行的惡意軟件攻擊事件,也極有可能是Lazarus Group利用波蘭金融監管局網站中存在的漏洞完成的。
卡巴斯基的安全研究員曾對該組織進行過追蹤,當時他們對該團伙的活動時間、休息吃飯時間、睡覺時間等進行了分析,表明該團伙的多數人應生活在東八區(GMT+8)或東九區(GMT+9),而且從當時從Lazarus的樣本集來看,幾乎有2/3的網絡犯罪可執行文件都包含了典型韓語用戶的元素。
并且,團伙成員屬于極端型的工作狂,每日工作時間長達15-16個小時。Lazarus 儼然是業內多年來所知的“最勤勞”的團伙了。
“東八區或東九區”、“韓語元素”、"最勤奮的黑客”、“攻擊韓國和美國”,看到這里,雷鋒網編輯心理一驚,矛頭難道又要從俄羅斯黑客轉移到了朝鮮人身上。
不過,誰又能保證,這不是另一起更高明的嫁禍行為呢?黑客嫁禍這種事已經不是一次兩次發生了,2009年google等幾十家美國公司受到黑客的攻擊后,《紐約時報》就在沒有充分證據的情況下,就稱該攻擊和中國的藍翔技校有關,之后也不了了之。
京公網安備 11010502049343號