大规模网络间谍活动!“神枪手”来自何方?
在第二次“特金会”期间,针对美国和欧洲企业长达18个月的朝鲜黑客攻击行动——“神枪手行动”仍在继续。在一次活动中,政府官员获得了一台C2服务器,通过研究人员的分析,发现了将该行动归属于朝鲜黑客组织Lazarus所需的代码和数据。
一.背景
2018年12月,安全公司McAfee发现了一项针对核、政府、军事、能源和金融部门机构的新活动,并将其命名为“神枪手”(Operation Sharpshooter)。这个代号为“神枪手”的黑客行动在2018年的10月到11月期间,攻击了24个国家的大约100家公司。
“神枪手”通过伪装成招聘信息的网络钓鱼电子邮件,获取访问权限后,使用内存植入来下载一款名为“Rising Sun”的恶意程序,这是一个功能齐全的模块化后门,可在受害者的网络上进行侦察,以访问机器级信息,包括文档、用户名、网络配置和系统设置。
在2014年,索尼公司和韩国的一些公司遭遇了网络攻击,那次网络攻击使用的是一款名为Duuzer的木马后门,而Rising Sun就是这个后门的变体。
“神枪手”黑客行动与朝鲜黑客组织Lazarus有许多的技术联系,但迈克菲研究人员当时表示下结论还为时过早,无法确定该组织对此次黑客行动负责,这可能只是一个嫁祸于人的做法。
研究人员表示,他们观察了朝鲜黑客袭击了的美国和全球100多家公司的计算机网络。2019年2月,黑客攻击了土耳其的公司。 2019年3月,在一家未署名的外国执法机构的帮助下,迈克菲的研究人员获得了朝鲜黑客使用的主要计算机服务器之一,并对其进行了分析。
二.Lazarus介绍
Lazarus(T-APT-15)组织是来自朝鲜的APT组织,该组织长期对韩国、美国进行渗透攻击,此外还对全球的金融机构进行攻击,堪称全球金融机构的最大威胁。该组织最早的攻击活动可以追溯到2007年。据国外安全公司的调查显示,Lazarus组织与2014 年索尼影业遭黑客攻击事件、2016 年孟加拉国银行数据泄露事件、2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等事件有关。而2017年席卷全球的最臭名昭著的安全事件“Wannacry”勒索病毒也被怀疑是该组织所为。
Lazarus组织的暴露始于2014年,一个自称和平护卫队(GoP,Guardians of Peace)的黑客组织攻击了索尼影业,以让其放弃播放影片《刺杀金正恩》(The Interview)。毋庸置疑,和平护卫队来自朝鲜,正是和平护卫队与Lazarus黑客组织间关系的暴露,让各安全机构确定Lazarus隶属于朝鲜。在孟加拉国央行的行动中一段用于消除攻击证据的底层代码和 2014 年黑客攻击索尼影业时使用的代码完全相同。
针对 Lazarus的调查还暴露了其他一些线索,包括Lazarus 的恶意软件样本中有大量的韩语元素;Lazarus 在一次行动中犯下错误,一台欧洲服务器出现了朝鲜政府专用的 IP 登录记录。
朝鲜黑客一直攻击全球各地银行以获取经济利益——这在政府支持的黑客组织中很少见,但对于遭受经济制裁蹂躏的国家来说并不奇怪。根据朝鲜知识分子团结组织朝鲜负责人Kim Heung-kwang的说法,Lazarus 属于军事情报机构朝鲜侦察总局第180处。Kim Heung-kwang曾担任朝鲜大学计算机科学教师,且目前与朝鲜方面仍有联系。
据信,第180处由金正恩成立于2013年。Kim Heung-kwang认为,该机构的作用在于获取外汇资源以支持朝政府的核武器与远程导弹研究。该机构据信拥有约500名成员。韩国情报机构亦怀疑,该部门正是近期东京交易所运营商 Coincheck 加密货币 NEM 盗窃案的幕后黑手。
三.调查结果
为了隐藏其真实位置,攻击者使用ExpressVPN服务,该服务将其IP地址重定向到伦敦。
但是IP地址很少是攻击者来源或归属的可靠指标。具体分析“神枪手”行动的工具、策略、方法后,研究人员发现其与Lazarus组织的联系显而易见。
鱼叉攻击邮件:“神枪手”行动与多个活动共享恶意软件,也与多个活动有战术重叠。
与非洲的联系:对命令和控制服务器代码和文件日志的分析还发现了位于非洲纳米比亚温得和克市的IP地址网络块。研究人员怀疑在发起更广泛的攻击行动之前,神枪手背后的攻击者可能已经在这里测试了它们的后门植入物和其他技术,而纳米比亚是少数仍与朝鲜保持友好关系的国家之一。
攻击者一直在使用C2基础设施,其核心后端是用超文本预处理器(PHP)和Active Server Pages(ASP)编写的。该代码似乎是自定义的,并且对于该组织来说从未变过,研究人员的分析显示它自2017年以来一直被该组织运用。
Rising Sun:神枪手攻击者使用类似工厂生产的过程,在核心植入功能之外,构成Rising Sun的其他恶意组件独立开发,这些组件可追溯到2016年的各种植入物中。尽管这些植入物与以前的攻击共享代码,但攻击者还是为其增加了新功能——可以将数据从受感染的机器上移除,加密流量。
安全公司McAfee并未透露具体的攻击目标,但表示绝大多数位于美国休斯顿(石油和天然气中心)和纽约(金融中心),其它主要攻击目标包括:伦敦、马德里、东京、特拉维夫、罗马、曼谷、台北、首尔和香港。俄罗斯和中国大陆所受影响相对较小。
四.总结
朝鲜近期黑客活动的揭露为2月底的首脑会议的紧张局势增添了新的细节,该会议突然以没有任何交易的方式结束。而在第一次“特金会”结束后,朝鲜同意停止试射导弹。
Lazarus APT组织擅长使用邮件钓鱼进行鱼叉攻击,同时武器库强大,具有使用0Day发起攻击的能力。而从披露的该组织的活动来看,该组织发起攻击的规模都巨大。虽然该组织的攻击活动被不断的披露,但是该组织从未停止攻击活动的脚步,相反攻击活动还更加的活跃,同时还把攻击目标不断扩大,从能源、军事、政府等部门到专项金融机构,尤其是数字货币交易所等。因此,政府、企业等广大用户,切勿随意打开来历不明的邮件附件,同时安装安全软件。