美国首次披露朝鲜国家黑客的七种武器

上周五美国五角大楼、联邦调查局和国土安全部披露了朝鲜的黑客行动,并首次向公共恶意软件库提供了该活动中使用的七种恶意软件的技术细节。

成都创新互联公司坚信:善待客户,将会成为终身客户。我们能坚持多年,是因为我们一直可值得信赖。我们从不忽悠初访客户,我们用心做好本职工作,不忘初心,方得始终。10余年网站建设经验成都创新互联公司是成都老牌网站营销服务商,为您提供成都网站设计、做网站、成都外贸网站建设公司、网站设计、H5场景定制、网站制作、品牌网站建设小程序设计服务,给众多知名企业提供过好品质的建站服务。

五角大楼美国网络司令部的一个分支——美国网络国家任务部队(Cyber National Mission Force,简称CNMF)在Twitter上发文指出:

该恶意软件目前被(朝鲜政府)网络攻击者用于网络钓鱼和远程访问,以进行非法活动,窃取资金和逃避制裁。该推文链接到恶意软件库VirusTotal上的帖子,该帖子提供了密码哈希、文件名和其他技术详细信息,可帮助防御者识别他们所保护的网络内的威胁。

美国国土安全部(DHS)网络安全和基础设施安全局(IEA)的陪同顾问说,攻击活动来自Hidden Cobra——一个朝鲜政府赞助的黑客组织。该组织更广为人知的代号来自安全公司的安全研究人员的命名,包括Lazarus和Zinc。上周五,七个恶意软件家族中的六个被上传到VirusTotal。其中包括:

  • Bistromath,功能齐全的远程访问木马和植入程序,可以执行系统调查、文件上载和下载、处理和命令执行以及对麦克风、剪贴板和屏幕的监视。
  • Slickshoes是一种“dropper”,可以加载但实际上不执行,属于一种“信标植入物”(Beaconing implant),可以实现Bistromath的很多功能。
  • Hotcroissant,一种功能齐全的信标植入物,可以完成上面列出的许多操作(例如文件传输和屏幕抓取)。
  • Artfulpie,一种从硬编码的URL执行DLL文件的下载以及在内存中加载载荷和执行的植入物。
  • Buttetline,另一种功能完备的植入物,但是它使用了伪造的HTTPS和经过修改的RC4加密密码,以保持隐身状态。
  • Crowdedflounder,一个Windows可执行文件,旨在将Remote Access Trojan解压缩并执行到计算机内存中。

据Cyberscoop报道,一位查看过恶意软件分析报告的人士指出,这些恶意软件中许多都是典型的远程访问木马(RAT),例如Slickshoes具有RAT的许多常见功能,如反向外壳、屏幕捕获、文件盗窃和文件创建。其中有些恶意软件的时间戳可以追溯到2016年,但有些则是最新创建,例如Hotcroissant的编译时间戳为去年7月,Artfulpie的编译时间戳是去年6月。

公开的恶意软件中,至少有一个与在印度活动的朝鲜黑客组织有关,该组织与DTrack恶意软件以及印度核电站攻击和ATM盗窃有关。

过去,美国网络司令部通常不会在公开文件中注明恶意软件的功能,但是从2019年下半年开始,网络司令部的做法开始改变,包括此次公布的六个恶意软件都提供了包括功能在内的详细信息。

首次公开披露国家黑客行动

美国网络安全与基础设施安全局(CSA)在周五的咨文中,还提供了先前披露的Hoplight的详细信息。Hoplight是20个文件的家族,是一种能够收集受害者操作系统信息的特洛伊木马。这些恶意软件均未包含伪造的数字签名,属于更高级黑客操作的标准技术,可以更轻松地绕过端点安全保护。Hoplight之前已经被FBI和DHS暴露。网络司令部还在去年9月公开了与Hoplight相关的活动。

卡巴斯基实验室全球研究与分析团队负责人Costin Raiu在推特上发布了一张图片,将周五公布的信息与卡巴斯基在其他Lazarus活动中发现的恶意软件样本进行了关联分析:

上周五的联合咨文代表着美国政府的一种新做法——公开确认并披露外国黑客及其所开展的活动信息。以前,美国政府官员大多避免将特定的黑客活动归因于特定的政府。2014年,当联邦调查局公开得出结论称,朝鲜政府是一年前对索尼影视公司进行的具有高度破坏性的黑客攻击之后,这种方法开始发生变化。

2018年,美国司法部起诉了一名朝鲜特工,称其实施了Sony黑客攻击并释放了殃及全球的WannaCry勒索软件蠕虫,该蠕虫在2017年搞瘫了全球150多个国家30多万用户的计算机。去年,美国财政部制裁了三个韩国黑客组织,这些组织被指控针对关键基础设施攻击,并在加密货币交易所窃取了数百万美元。

正如Cyberscoop指出的那样,上周五的通告标志着美国网络司令部首次公开确认了朝鲜的黑客行动,其原因之一是:尽管朝鲜政府黑客使用的恶意软件和技术通常不如其他国家黑客,但攻击的复杂性却越来越高。包括路透社在内的新闻机构引用了去年八月的联合国报告估计,朝鲜对银行和加密货币交易所的黑客入侵为该国的大规模毁灭性武器计划获取了20亿美元的资金。

参考资料:

  • 美国政府和盘托出朝鲜黑客的恶意软件信息:https://arstechnica.com/tech-policy/2020/02/us-government-exposes-malware-used-in-north-korean-sponsored-hacking-ops/
  • 联合国报告《朝鲜通过网络攻击获取20亿美元资助其武器计划》:https://www.reuters.com/article/us-northkorea-cyber-un/north-korea-took-2-billion-in-cyberattacks-to-fund-weapons-program-u-n-report-idUSKCN1UV1ZX

戳这里,看该作者更多好文

名称栏目:美国首次披露朝鲜国家黑客的七种武器
文章地址:http://www.mswzjz.com/qtweb/news40/191140.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联