美國首次披露朝鮮國家黑客的七種武器
上周五美國五角大樓、聯邦調查局和國土安全部披露了朝鮮的黑客行動,并首次向公共惡意軟件庫提供了該活動中使用的七種惡意軟件的技術細節。
五角大樓美國網絡司令部的一個分支——美國網絡國家任務部隊(Cyber National Mission Force,簡稱CNMF)在Twitter上發文指出:
| 該惡意軟件目前被(朝鮮政府)網絡攻擊者用于網絡釣魚和遠程訪問,以進行非法活動,竊取資金和逃避制裁。該推文鏈接到惡意軟件庫VirusTotal上的帖子,該帖子提供了密碼哈希、文件名和其他技術詳細信息,可幫助防御者識別他們所保護的網絡內的威脅。 |
美國國土安全部(DHS)網絡安全和基礎設施安全局(IEA)的陪同顧問說,攻擊活動來自Hidden Cobra——一個朝鮮政府贊助的黑客組織。該組織更廣為人知的代號來自安全公司的安全研究人員的命名,包括Lazarus和Zinc。上周五,七個惡意軟件家族中的六個被上傳到VirusTotal。其中包括:
- Bistromath,功能齊全的遠程訪問木馬和植入程序,可以執行系統調查、文件上載和下載、處理和命令執行以及對麥克風、剪貼板和屏幕的監視。
- Slickshoes是一種“dropper”,可以加載但實際上不執行,屬于一種“信標植入物”(Beaconing implant),可以實現Bistromath的很多功能。
- Hotcroissant,一種功能齊全的信標植入物,可以完成上面列出的許多操作(例如文件傳輸和屏幕抓取)。
- Artfulpie,一種從硬編碼的URL執行DLL文件的下載以及在內存中加載載荷和執行的植入物。
- Buttetline,另一種功能完備的植入物,但是它使用了偽造的HTTPS和經過修改的RC4加密密碼,以保持隱身狀態。
- Crowdedflounder,一個Windows可執行文件,旨在將Remote Access Trojan解壓縮并執行到計算機內存中。
據Cyberscoop報道,一位查看過惡意軟件分析報告的人士指出,這些惡意軟件中許多都是典型的遠程訪問木馬(RAT),例如Slickshoes具有RAT的許多常見功能,如反向外殼、屏幕捕獲、文件盜竊和文件創建。其中有些惡意軟件的時間戳可以追溯到2016年,但有些則是最新創建,例如Hotcroissant的編譯時間戳為去年7月,Artfulpie的編譯時間戳是去年6月。
公開的惡意軟件中,至少有一個與在印度活動的朝鮮黑客組織有關,該組織與DTrack惡意軟件以及印度核電站攻擊和ATM盜竊有關。
過去,美國網絡司令部通常不會在公開文件中注明惡意軟件的功能,但是從2019年下半年開始,網絡司令部的做法開始改變,包括此次公布的六個惡意軟件都提供了包括功能在內的詳細信息。
首次公開披露國家黑客行動
美國網絡安全與基礎設施安全局(CSA)在周五的咨文中,還提供了先前披露的Hoplight的詳細信息。Hoplight是20個文件的家族,是一種能夠收集受害者操作系統信息的特洛伊木馬。這些惡意軟件均未包含偽造的數字簽名,屬于更高級黑客操作的標準技術,可以更輕松地繞過端點安全保護。Hoplight之前已經被FBI和DHS暴露。網絡司令部還在去年9月公開了與Hoplight相關的活動。
卡巴斯基實驗室全球研究與分析團隊負責人Costin Raiu在推特上發布了一張圖片,將周五公布的信息與卡巴斯基在其他Lazarus活動中發現的惡意軟件樣本進行了關聯分析:
上周五的聯合咨文代表著美國政府的一種新做法——公開確認并披露外國黑客及其所開展的活動信息。以前,美國政府官員大多避免將特定的黑客活動歸因于特定的政府。2014年,當聯邦調查局公開得出結論稱,朝鮮政府是一年前對索尼影視公司進行的具有高度破壞性的黑客攻擊之后,這種方法開始發生變化。
2018年,美國司法部起訴了一名朝鮮特工,稱其實施了Sony黑客攻擊并釋放了殃及全球的WannaCry勒索軟件蠕蟲,該蠕蟲在2017年搞癱了全球150多個國家30多萬用戶的計算機。去年,美國財政部制裁了三個韓國黑客組織,這些組織被指控針對關鍵基礎設施攻擊,并在加密貨幣交易所竊取了數百萬美元。
正如Cyberscoop指出的那樣,上周五的通告標志著美國網絡司令部首次公開確認了朝鮮的黑客行動,其原因之一是:盡管朝鮮政府黑客使用的惡意軟件和技術通常不如其他國家黑客,但攻擊的復雜性卻越來越高。包括路透社在內的新聞機構引用了去年八月的聯合國報告估計,朝鮮對銀行和加密貨幣交易所的黑客入侵為該國的大規模毀滅性武器計劃獲取了20億美元的資金。
參考資料:
- 美國政府和盤托出朝鮮黑客的惡意軟件信息:https://arstechnica.com/tech-policy/2020/02/us-government-exposes-malware-used-in-north-korean-sponsored-hacking-ops/
- 聯合國報告《朝鮮通過網絡攻擊獲取20億美元資助其武器計劃》:https://www.reuters.com/article/us-northkorea-cyber-un/north-korea-took-2-billion-in-cyberattacks-to-fund-weapons-program-u-n-report-idUSKCN1UV1ZX
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
