美國當局本周二發布報告,闡述朝鮮網絡部隊使用的工具和基礎設施最新細節,并且警告稱朝鮮未來將會繼續依賴網絡行動以推進其軍事與戰略目標。這份新報告將朝鮮的黑客組織稱為隱藏眼鏡蛇(Hidden Cobra,商業公司報告將該黑客組織稱為Lazarus Group和Guardians of Peace。)
美國國土安全部計算機應急與響應小組和FBI發布的這份報告確認了“隱藏眼鏡蛇”管理僵尸網絡基礎設施使用的IP地址和惡意軟件DeltaCharlie。
報告包括多個攻擊指示器(IOC)、惡意軟件描述、網絡簽名等。
“隱藏眼鏡蛇”組織被指參與18國的一系列銀行盜竊案,涉案金額達到幾十億美元之多。并且自2009年以來針對美國乃至全球的媒體、航空航天、金融和關鍵基礎設施行業發起攻擊。
報告中對“隱藏眼鏡蛇”的描述自2009年以來,“隱藏眼鏡蛇”一直在攻擊大量受害者,某些入侵行為導致數據泄露,而另一些攻擊行為在本質上具有破壞性。DHS和FBI鼓勵網絡分析師查看此技術警告中提供的信息,以發現惡意網絡活動的跡象。
“隱藏眼鏡蛇”使用的工具和能力包括DDoS僵尸網絡、鍵盤記錄器、遠程訪問工具(RAT)和數據清理惡意軟件。“隱藏眼鏡蛇”使用的惡意軟件變種和工具包括Destover、Wild Positron/Duuzer和Hangman。
DHS先前已經發布了警告TA14-353A,其中包含這些攻擊者使用服務器信息塊(SMB)蠕蟲工具的細節。
DHS還需進一步研究,以理解該組織的整個網絡能力。DHS建議,網絡安全和威脅研究公司對朝鮮的網絡活動繼續展開調查。
“隱藏眼鏡蛇”通常攻擊的對象都是不再有來自微軟官方補丁的操作系統或是利用Adobe Systems Inc的Flash軟件漏洞展開攻擊。
“隱藏眼鏡蛇”使用漏洞影響各種應用程序。這些漏洞包括:
CVE-2015-6585:韓語文字處理器漏洞
CVE-2015-8651: Adobe Flash Player 18.0.0.324 和19.x 漏洞
CVE-2016-0034: Microsoft Silverlight 5.1.41212.0 漏洞
CVE-2016-1019: Adobe Flash Player 21.0.0.197漏洞
CVE-2016-4117: Adobe Flash Player 21.0.0.226 漏洞
報告建議組織機構將這些應用程序升級到最新版本,并安裝補丁。如果不需要Adobe Flash或Microsoft Silverlight,報告建議將其從系統中刪除。
這份技術報告中提供的Indicator包括DeltaCharlie的IP地址(構成“隱藏眼鏡蛇”僵尸網絡基礎設施的一部分)。DeltaCharlie DDoS僵尸程序最初出現在安全分析公司Novetta2016年發布的重磅炸彈行動(Operation Blockbuster)報告中。這款惡意軟件使用的IP地址在隨附.csv和.stix文件中被確認為源IP和目標IP。在某些情況下,這款惡意軟件可能已經在受害者的網絡中存在已久。
然而這份警告聲明并未指明“隱藏眼鏡蛇”受害者的具體身份,但是遭到攻擊的受害者要么數據遭竊要么遭到損害。
“隱藏眼鏡蛇”最臭名昭著的攻擊要數2014年索尼影業的黑客攻擊事件,專家認為雖然使用的技術不夠成熟,但造成的影響力非同一般。據報道,當時自稱 “和平衛士”(Guardians of Peace)的組織機構公布了索尼影業的大量內部文件,其包含敏感的商業信息,以及數千名員工的個人數據,例如員工的電子郵件往來,老板和下屬之間的曖昧關系等。此外,索尼影業的5部電影,包括4部未發行電影,也被公布至文件分享網站。
而經確定的IP地址來自全球多國,包括新加坡、印度、俄羅斯和科威特。
對此,朝鮮持否認態度。
FireEye公司的網絡情報分析師John Hultquist指出,他們公司對來自朝鮮的網絡攻擊破壞力的不斷增強表示擔憂。Hultquist表示,攻擊者看起來曾在正式發起網絡攻擊之前對韓國金融、能源、運輸公司進行過偵查工作,而這帶來的后果將會非常具有破壞力。
就在DHS與FBI發布此報告的同日,朝鮮方面釋放了已經被關押在平壤有17個月的美國大學生Otto Warmbier。據悉,Warmbier現處于昏迷狀態,急需醫療救護。
京公網安備 11010502049343號