FBI:索尼事件、WannaCry和8100万银行劫案都是朝鲜干的

美国政府正式指控朝鲜政府,称其是索尼影业黑客事件、WannaCry勒索软件攻击和一系列网络银行劫案背后主使。

9月6日的新闻发布会上,FBI和美国司法部(DoJ)宣称:一队朝鲜黑客挂靠所谓的朝鲜博览合资公司( Chosun Expo Joint Venture ),执行了这些国家支持的黑客攻击。

WX20180909-104126@2x

该黑客组织被安全公司广泛称为 Lazarus Group,FBI和DoJ确认了其中一名成员朴金赫( Park Jin Hyok,音),并将其作为逃犯加入了FBI通缉榜。

DoJ发言人称,美国将根据调查结果对朝鲜施加更多制裁。

长期以来,朝鲜一直被怀疑(和指控)施行了索尼影业黑客攻击和WannaCry勒索软件攻击,但现在,这些指控被正式提出了。

负责调查的特别探员给出了一份长达179页的证词,对朴金赫、他加入的黑客组织,及其最终后台朝鲜政府与这些攻击之间的联系做了详尽的阐述。

证词描述了该组织是怎么利用多个Gmail账户执行攻击并试图掩藏痕迹的,但同时也指出,他们留下了一系列电子碎屑,且使用了朝鲜政府的一个电子邮件账户,最终让调查人员摸到了黑客身份并关联上朝鲜政府。

触及全球

官方强调,该黑客组织的行动触及全球,为此,美国方面已经发出超过100份搜查令,向外国提出了85个信息调阅请求。

指控中提到的网络犯罪的规模相当惊人,是对所有尊重法治和普适网络规范的人的侵犯。

该黑客组织攻击娱乐公司和银行,然后用同样的代码创建了WannaCry勒索软件,引发全球混乱,其中就包括搞摊了英国国家医疗健康服务(NHS)。

索尼影业被攻击是因为出品了电影《刺杀金正恩》,朝鲜人认为该电影对他们的领袖不敬。于是,Lazarus组织通过鱼叉式网络钓鱼攻击渗透了索尼影业的系统,将其高管的私人邮件泄露到网上,给索尼影业带来巨大的公关麻烦。而且,尚未上映的电影拷贝也被流到了网上。

调查人员发现,排定上映该片的AMC院线,以及正在拍描写朝鲜的电影的一家英国制作公司,同样遭到了攻击。

自2015年始,该黑客组织还攻击了多家银行,其中最成功的是2016年2月的孟加拉央行8100万美元惊天劫案。但其他横跨全球的大大小小银行劫案也造成了超过10亿美元的损失。

各类目标

除了索尼影业和全球多家银行,该组织还对西方目标展开广泛攻击,包括医院、大学、能源公司、国防承包商、加密货币交易所等等。

这些攻击中多次用到同样的设备、IP地址和加密密钥,硬编码到恶意软件里的域名也在这些黑客的控制之下,比如fancug.com。

调查还发现,在攻击之前,该黑客团队会通过社交账号跟踪目标公司的特定人员,进行有效的网上监控,抽取出相关域名和业务记录,以期找出目标系统中的漏洞,找到对目标公司员工进行鱼叉式网络钓鱼的最佳方式。

某攻击中,Facebook发给受害者的访问IP地址变动警告邮件被这伙黑客拦截,将其中通往Facebook网站的链接替换成黑客控制下的域名后又重发给了受害者。于是,受害者点击了合法Facebook邮件中看起来像是合法的链接,却被导引到黑客控制的网站给自己的计算机下载安装上恶意软件。黑客在受害者使用的谷歌Drive和其他服务上也有类似操作。

证词详细描述了调查人员是怎么通过服务器日志和其他电子证据追踪这些攻击的。

正式起诉书中描述道,朝鲜黑客朴金赫经常去中国从事合法计算机工作,然后回朝鲜为他的国家继续其黑客任务。调查人员发现了他的履历并追踪了他的行动。

长期有效

美国政府承认,因为没有引渡协议,他们不太可能去朝鲜抓捕朴金赫,但强调称,有必要曝光这名黑客并提出正式的指控。

我们的通缉长期有效,也为他终将被逮捕的那一天做好了万全准备。点出这个组织就是为了表明我们知道是谁干的。我们要传达的信息是:你躲不了!

在不相关的新闻里,就在DoJ的新闻发布会开始前几小时,在宣布对朝鲜的进一步制裁之前,特朗普才毫无预兆地称赞了金正恩。

特朗普在推特上说:“朝鲜的金正恩表达了对总统的坚定信念。谢谢金主席。我们会共同把事情搞定的。”

179页证词地址:

https://regmedia.co.uk/2018/09/06/park-wannacry-hack.pdf

上一篇:IPv6、AI、AST:看看山石网科一口气推出的三款安全新防具

下一篇:Shodan:互联网上一切事物的搜索引擎