美国当局本周二发布报告,阐述朝鲜网络部队使用的工具和基础设施最新细节,并且警告称朝鲜未来将会继续依赖网络行动以推进其军事与战略目标。这份新报告将朝鲜的黑客组织称为隐藏眼镜蛇(Hidden Cobra,商业公司报告将该黑客组织称为Lazarus Group和Guardians of Peace。)
美国国土安全部计算机应急与响应小组和FBI发布的这份报告确认了“隐藏眼镜蛇”管理僵尸网络基础设施使用的IP地址和恶意软件DeltaCharlie。
报告包括多个攻击指示器(IOC)、恶意软件描述、网络签名等。
“隐藏眼镜蛇”组织被指参与18国的一系列银行盗窃案,涉案金额达到几十亿美元之多。并且自2009年以来针对美国乃至全球的媒体、航空航天、金融和关键基础设施行业发起攻击。
报告中对“隐藏眼镜蛇”的描述自2009年以来,“隐藏眼镜蛇”一直在攻击大量受害者,某些入侵行为导致数据泄露,而另一些攻击行为在本质上具有破坏性。DHS和FBI鼓励网络分析师查看此技术警告中提供的信息,以发现恶意网络活动的迹象。
“隐藏眼镜蛇”使用的工具和能力包括DDoS僵尸网络、键盘记录器、远程访问工具(RAT)和数据清理恶意软件。“隐藏眼镜蛇”使用的恶意软件变种和工具包括Destover、Wild Positron/Duuzer和Hangman。
DHS先前已经发布了警告TA14-353A,其中包含这些攻击者使用服务器信息块(SMB)蠕虫工具的细节。
DHS还需进一步研究,以理解该组织的整个网络能力。DHS建议,网络安全和威胁研究公司对朝鲜的网络活动继续展开调查。
“隐藏眼镜蛇”通常攻击的对象都是不再有来自微软官方补丁的操作系统或是利用Adobe Systems Inc的Flash软件漏洞展开攻击。
“隐藏眼镜蛇”使用漏洞影响各种应用程序。这些漏洞包括:
CVE-2015-6585:韩语文字处理器漏洞
CVE-2015-8651: Adobe Flash Player 18.0.0.324 和19.x 漏洞
CVE-2016-0034: Microsoft Silverlight 5.1.41212.0 漏洞
CVE-2016-1019: Adobe Flash Player 21.0.0.197漏洞
CVE-2016-4117: Adobe Flash Player 21.0.0.226 漏洞
报告建议组织机构将这些应用程序升级到最新版本,并安装补丁。如果不需要Adobe Flash或Microsoft Silverlight,报告建议将其从系统中删除。
这份技术报告中提供的Indicator包括DeltaCharlie的IP地址(构成“隐藏眼镜蛇”僵尸网络基础设施的一部分)。DeltaCharlie DDoS僵尸程序最初出现在安全分析公司Novetta2016年发布的重磅炸弹行动(Operation Blockbuster)报告中。这款恶意软件使用的IP地址在随附.csv和.stix文件中被确认为源IP和目标IP。在某些情况下,这款恶意软件可能已经在受害者的网络中存在已久。
然而这份警告声明并未指明“隐藏眼镜蛇”受害者的具体身份,但是遭到攻击的受害者要么数据遭窃要么遭到损害。
“隐藏眼镜蛇”最臭名昭著的攻击要数2014年索尼影业的黑客攻击事件,专家认为虽然使用的技术不够成熟,但造成的影响力非同一般。据报道,当时自称 “和平卫士”(Guardians of Peace)的组织机构公布了索尼影业的大量内部文件,其包含敏感的商业信息,以及数千名员工的个人数据,例如员工的电子邮件往来,老板和下属之间的暧昧关系等。此外,索尼影业的5部电影,包括4部未发行电影,也被公布至文件分享网站。
而经确定的IP地址来自全球多国,包括新加坡、印度、俄罗斯和科威特。
对此,朝鲜持否认态度。
FireEye公司的网络情报分析师John Hultquist指出,他们公司对来自朝鲜的网络攻击破坏力的不断增强表示担忧。Hultquist表示,攻击者看起来曾在正式发起网络攻击之前对韩国金融、能源、运输公司进行过侦查工作,而这带来的后果将会非常具有破坏力。
就在DHS与FBI发布此报告的同日,朝鲜方面释放了已经被关押在平壤有17个月的美国大学生Otto Warmbier。据悉,Warmbier现处于昏迷状态,急需医疗救护。
本文转自d1net(转载)
