朝鲜黑客的老巢竟藏在泰国大学中?McAfee 扒了一波做案细节
朝鲜黑客一直是世界各大安全公司的重点研究目标,2017年4月底,赛门铁克就曾发布过一个报告,认为朝鲜网络攻击集团对世界多国银行发动了攻击,并预测其窃取资金超过一千亿韩元(折合人民币6.13亿元)。
同时,还列出证据表明,朝鲜网络攻击的目标包括孟加拉国、越南、厄瓜多尔、波兰等国银行,目前已经从这些国家的银行盗窃了至少 9400 万美元。
一年之后,雷锋网 (公众号:雷锋网) 发现,又一知名安全公司迈克菲(McAfee)也同样在4月底发布报告,再次挖出了朝鲜黑客的不少黑料。McAfee 高级威胁研究团队指出,经过长期的跟踪研究,一项名为 Operation GhostSecret 的大型黑客活动疑似与朝鲜政府支持的黑客组织 Lazarus 有关,因为攻击中使用了与该组织有关的各种工具和恶意程序。
Lazarus 你是不是听着有些耳熟?对,就是那个曾对索尼影业公司进行摧毁性攻击、从孟加拉央行盗取8100万美元、被认为是 WannaCry 的重要幕后黑手的黑客团伙 Lazarus 。
研究人员最初以为, Operation GhostSecret 只是 3 月初发生在几个土耳其金融机构和政府组织的大规模网络攻击,但 McAfee 的报告显示,这个攻击实际上波及了 17 个国家。背后攻击者瞄准关键基础设施、娱乐、金融、医疗保健和电信等多个行业,窃取业内敏感数据,目前依旧活跃。
这个判断并非是空穴来风的推测,而是有了实锤,这个实锤就是找到了黑客所用的服务器的藏身之地!
据外媒 SecurityAffairs 的消息,泰国当局在 ThaiCERT(相当于泰国的国家互联网应急响应中心)与迈克菲(McAfee)的协助下,找到了朝鲜 APT 组织 Hidden Cobra 使用的服务器。
泰国当局发现,这台服务器居然藏在一所泰国大学里,2014 年朝鲜黑客就借助这台服务器让索尼影业大量邮件和电影拷贝曝光。
在今年的 3 月 15 日至 19 日,美国、澳大利亚、日本和中国的服务器多次受到感染。泰国近 50 台服务器更是受到恶意软件的严重打击,是所有国家中受到攻击最严重的,也是出自这个服务器。
据悉,该服务器当年是 Hidden Cobra 发动 GhostSecret 攻击时的指挥和控制中枢。如果没有迈克菲专家在全球范围内的不懈分析与调查,这台服务器恐怕还安静的躺在泰国那所大学中。
我们对 GhostSecret 攻击的调查显示,黑客当时用了多个恶意软件进行植入,其中包括性能与 Bankshot 类似的软件。在 3 月 18 日到 26 日的调查中,我们发现恶意软件其实分布在全球多个地方,这种新型变种在许多地方都与恶意软件 Destover 类似,后者就是 2014 年让索尼营业元气大伤的罪魁祸首。
McAfee 在对控制服务器设施进行进一步调查后发现,与控制服务器203[.]131[.]222[.]83 捆绑的 SSL 证书 d0cb9b2d4809575e1bc1f4657e0eb56f307c7a76 在 2018 年 2 月的一次植入中也用到了,而这台服务器属于泰国法政大学。索尼影业被攻击后,Hidden Cobra 就一直在使用这一 SSL 证书。
泰国是 Destover 变种感染的重灾区
雷锋网发现,ThaiCERT 发布的一份安全公告指出,GhostSecret 攻击今年 2 月份重出江湖。迈克菲也发现了三个属于法政大学的 IP 地址(203.131.222.95、203.131.222.109、203.131.222.83),它们与攻击脱不了干系。
可怕的是,现在这场攻击还处在进行时。
迈克菲表示,GhostSecret 是一场全球范围的数据侦查项目,它针对的是关键基础设施、娱乐、金融、医疗保健和通讯等。攻击背后的黑客用上了多种植入物、工具和恶意软件变种,其手法与当年的 Hidden Cobra 如出一辙。
与此同时,McAfee 高级威胁研究团队还发现了一个未登记在案的植入物 Proxysvc,2017 年年中它就开始偷偷祸害别人了。
眼下,ThaiCERT 正联合当地政府与迈克菲分析这台服务器中的内容,不知它们是否还能挖出什么惊天大秘密。
雷锋网 Via. SecurityAffairs
相关文章: 探秘 | 比朝鲜核武器更炸裂更神秘的,是朝鲜黑客部队
朝鲜 Lazarus 团伙黑客工具分析
朝鲜网络作战部队已达6800人,个个水平高超,韩国恐慌
。