上周五美国五角大楼、联邦调查局和国土安全部披露了朝鲜的黑客行动,并首次向公共恶意软件库提供了该活动中使用的七种恶意软件的技术细节。
五角大楼美国网络司令部的一个分支——美国网络国家任务部队(Cyber National Mission Force,简称CNMF)在Twitter上发文指出:
该恶意软件目前被(朝鲜政府)网络攻击者用于网络钓鱼和远程访问,以进行非法活动,窃取资金和逃避制裁。该推文链接到恶意软件库VirusTotal上的帖子,该帖子提供了密码哈希、文件名和其他技术详细信息,可帮助防御者识别他们所保护的网络内的威胁。
美国国土安全部(DHS)网络安全和基础设施安全局(IEA)的陪同顾问说,攻击活动来自Hidden Cobra——一个朝鲜政府赞助的黑客组织。该组织更广为人知的代号来自安全公司的安全研究人员的命名,包括Lazarus和Zinc。上周五,七个恶意软件家族中的六个被上传到VirusTotal。其中包括:
据Cyberscoop报道,一位查看过恶意软件分析报告的人士指出,这些恶意软件中许多都是典型的远程访问木马(RAT),例如Slickshoes具有RAT的许多常见功能,如反向外壳、屏幕捕获、文件盗窃和文件创建。其中有些恶意软件的时间戳可以追溯到2016年,但有些则是最新创建,例如Hotcroissant的编译时间戳为去年7月,Artfulpie的编译时间戳是去年6月。
公开的恶意软件中,至少有一个与在印度活动的朝鲜黑客组织有关,该组织与DTrack恶意软件以及印度核电站攻击和ATM盗窃有关。过去,美国网络司令部通常不会在公开文件中注明恶意软件的功能,但是从2019年下半年开始,网络司令部的做法开始改变,包括此次公布的六个恶意软件都提供了包括功能在内的详细信息。
首次公开披露国家黑客行动
美国网络安全与基础设施安全局(CSA)在周五的咨文中,还提供了先前披露的Hoplight的详细信息。Hoplight是20个文件的家族,是一种能够收集受害者操作系统信息的特洛伊木马。这些恶意软件均未包含伪造的数字签名,属于更高级黑客操作的标准技术,可以更轻松地绕过端点安全保护。Hoplight之前已经被FBI和DHS暴露。网络司令部还在去年9月公开了与Hoplight相关的活动。卡巴斯基实验室全球研究与分析团队负责人Costin Raiu在推特上发布了一张图片,将周五公布的信息与卡巴斯基在其他Lazarus活动中发现的恶意软件样本进行了关联分析:
上周五的联合咨文代表着美国政府的一种新做法——公开确认并披露外国黑客及其所开展的活动信息。以前,美国政府官员大多避免将特定的黑客活动归因于特定的政府。2014年,当联邦调查局公开得出结论称,朝鲜政府是一年前对索尼影视公司进行的具有高度破坏性的黑客攻击之后,这种方法开始发生变化。
2018年,美国司法部起诉了一名朝鲜特工,称其实施了Sony黑客攻击并释放了殃及全球的WannaCry勒索软件蠕虫,该蠕虫在2017年搞瘫了全球150多个国家30多万用户的计算机。去年,美国财政部制裁了三个韩国黑客组织,这些组织被指控针对关键基础设施攻击,并在加密货币交易所窃取了数百万美元。
正如Cyberscoop指出的那样,上周五的通告标志着美国网络司令部首次公开确认了朝鲜的黑客行动,其原因之一是:尽管朝鲜政府黑客使用的恶意软件和技术通常不如其他国家黑客,但攻击的复杂性却越来越高。包括路透社在内的新闻机构引用了去年八月的联合国报告估计,朝鲜对银行和加密货币交易所的黑客入侵为该国的大规模毁灭性武器计划获取了20亿美元的资金。
参考资料
美国政府和盘托出朝鲜黑客的恶意软件信息:
https://arstechnica.com/tech-policy/2020/02/us-government-exposes-malware-used-in-north-korean-sponsored-hacking-ops/
联合国报告《朝鲜通过网络攻击获取20亿美元资助其武器计划》:
https://www.reuters.com/article/us-northkorea-cyber-un/north-korea-took-2-billion-in-cyberattacks-to-fund-weapons-program-u-n-report-idUSKCN1UV1ZX