美國當局本周二釋出報告,闡述北韓網絡部隊使用的工具和基礎設施最新細節,并且警告稱北韓未來将會繼續依賴網絡行動以推進其軍事與戰略目标。這份新報告将北韓的黑客組織稱為隐藏眼鏡蛇(hidden cobra,商業公司報告将該黑客組織稱為lazarus group和guardians of peace。)
美國國土安全部計算機應急與響應小組和fbi釋出的這份報告确認了“隐藏眼鏡蛇”管理僵屍網絡基礎設施使用的ip位址和惡意軟體deltacharlie。
報告包括多個攻擊訓示器(ioc)、惡意軟體描述、網絡簽名等。
“隐藏眼鏡蛇”組織被指參與18國的一系列銀行盜竊案,涉案金額達到幾十億美元之多。并且自2009年以來針對美國乃至全球的媒體、航空航天、金融和關鍵基礎設施行業發起攻擊。
報告中對“隐藏眼鏡蛇”的描述
自2009年以來,“隐藏眼鏡蛇”一直在攻擊大量受害者,某些入侵行為導緻資料洩露,而另一些攻擊行為在本質上具有破壞性。dhs和fbi鼓勵網絡分析師檢視此技術警告中提供的資訊,以發現惡意網絡活動的迹象。
“隐藏眼鏡蛇”使用的工具和能力包括ddos僵屍網絡、鍵盤記錄器、遠端通路工具(rat)和資料清理惡意軟體。“隐藏眼鏡蛇”使用的惡意軟體變種和工具包括destover、wild positron/duuzer和hangman。
dhs先前已經釋出了警告ta14-353a,其中包含這些攻擊者使用伺服器資訊塊(smb)蠕蟲工具的細節。
dhs還需進一步研究,以了解該組織的整個網絡能力。dhs建議,網絡安全和威脅研究公司對北韓的網絡活動繼續展開調查。
“隐藏眼鏡蛇”通常攻擊的對象都是不再有來自微軟官方更新檔的作業系統或是利用adobe systems inc的flash軟體漏洞展開攻擊。
“隐藏眼鏡蛇”使用漏洞影響各種應用程式。這些漏洞包括:
cve-2015-6585:韓國文字處理器漏洞
cve-2015-8651: adobe flash player 18.0.0.324 和19.x 漏洞
cve-2016-0034: microsoft silverlight 5.1.41212.0 漏洞
cve-2016-1019: adobe flash player 21.0.0.197漏洞
cve-2016-4117: adobe flash player 21.0.0.226 漏洞
報告建議組織機構将這些應用程式更新到最新版本,并安裝更新檔。如果不需要adobe flash或microsoft silverlight,報告建議将其從系統中删除。
這份技術報告中提供的indicator包括deltacharlie的ip位址(構成“隐藏眼鏡蛇”僵屍網絡基礎設施的一部分)。deltacharlie ddos僵屍程式最初出現在安全分析公司novetta2016年釋出的重磅炸彈行動(operation blockbuster)報告中。這款惡意軟體使用的ip位址在随附.csv和.stix檔案中被确認為源ip和目标ip。在某些情況下,這款惡意軟體可能已經在受害者的網絡中存在已久。
然而這份警告聲明并未指明“隐藏眼鏡蛇”受害者的具體身份,但是遭到攻擊的受害者要麼資料遭竊要麼遭到損害。
“隐藏眼鏡蛇”最臭名昭著的攻擊要數2014年索尼影業的黑客攻擊事件,專家認為雖然使用的技術不夠成熟,但造成的影響力非同一般。據報道,當時自稱 “和平衛士”(guardians of peace)的組織機構公布了索尼影業的大量内部檔案,其包含敏感的商業資訊,以及數千名員工的個人資料,例如員工的電子郵件往來,老闆和下屬之間的暧昧關系等。此外,索尼影業的5部電影,包括4部未發行電影,也被公布至檔案分享網站。
而經确定的ip位址來自全球多國,包括新加坡、印度、俄羅斯和科威特。
對此,北韓持否認态度。
fireeye公司的網絡情報分析師john hultquist指出,他們公司對來自北韓的網絡攻擊破壞力的不斷增強表示擔憂。hultquist表示,攻擊者看起來曾在正式發起網絡攻擊之前對南韓金融、能源、運輸公司進行過偵查工作,而這帶來的後果将會非常具有破壞力。
就在dhs與fbi釋出此報告的同日,北韓方面釋放了已經被關押在平壤有17個月的美國大學生otto warmbier。據悉,warmbier現處于昏迷狀态,急需醫療救護。
本文轉自d1net(轉載)