美国首次披露了朝鲜国家黑客使用的七种武器软件的技术细节。五角大楼美国网络司令部的一个分支网络国家任务部队(CNMF)发推文说:“(朝鲜政府)网络攻击者目前正在使用这种恶意软件进行网络钓鱼和远程访问。进行非法活动,窃取资金和逃避制裁。该推文链接到恶意软件存储库VirusTotal上的一篇帖子,该帖子提供密码哈希值、文件名和其他技术细节,可以帮助防御者识别他们保护的网络中的威胁。美国国土安全部(DHS)的随行顾问)网络安全和基础设施安全局(IEA)表示,这些攻击来自朝鲜国家支持的黑客组织HiddenCobra。该组织更为人熟知的代号来自安全公司的安全研究人员,包括Lazarus和Zinc。七个中的六个恶意软件家族于上周五上传至VirusTotal,其中包括:Bistromath,一种功能齐全的远程访问木马和植入程序,可以执行系统??inv估计,文件上传和下载,处理和命令执行,以及麦克风、剪贴板和屏幕的监控。Slickshoes是一个加载但实际上不执行的“滴管”,是一个可以执行Bistromath的许多功能的“信标植入物”。Hotcroissant,一种功能齐全的信标植入物,可以执行上面列出的许多操作(例如文件传输和屏幕抓取)。Artfulpie,一种从硬编码URL下载DLL文件并在内存中加载和执行的植入程序。Buttetline,另一个功能齐全的植入物,但它使用伪造的HTTPS和修改后的RC4加密密码来保持不可见。Crowdedflounder,一种Windows可执行文件,旨在将远程访问木马提取并执行到计算机内存中。据Cyber??scoop报道,一位查看恶意软件分析报告的人士指出,这些恶意软件中有许多是典型的远程访问木马(RAT)。例如,Slickshoes具有RAT的许多常见功能,例如反向外壳、屏幕捕获、文件盗窃和文档创建。其中一些恶意软件的时间戳可以追溯到2016年,但有些是最近创建的,例如去年7月编译的Hotcroissant和去年6月编译的Artfulpie。至少有一个披露的恶意软件与在印度运营的朝鲜黑客组织有关,该组织与DTrack恶意软件以及印度核电站攻击和ATM盗窃有关。过去,美国网络司令部通常不会在公开文件中说明恶意软件的功能,但从2019年下半年开始,网络司令部的做法开始发生变化,包括此次发布的六款恶意软件。包括详细信息。在首次公开披露民族国家黑客行动时,网络安全和基础设施安全局(CSA)在周五的简报中还提供了先前披露的Hoplight的详细信息。Hoplight是一个包含20个文件的家族,是一种能够收集有关受害者操作系统信息的特洛伊木马。这些恶意软件都不包含伪造的数字签名,这是一种用于更高级黑客操作的标准技术,可以更轻松地绕过端点安全保护。Hoplight此前曾被FBI和DHS曝光过。去年9月,网络司令部还披露了与Hoplight相关的活动。卡巴斯基实验室全球研究和分析团队负责人CostinRaiu在推特上发布了一张图片,将周五的公告与卡巴斯基在其他Lazarus活动中发现的恶意软件样本相关联:周五对联盟的讲话代表了美国政府公开识别和披露外国信息的新方法黑客及其活动。此前,美国政府官员大多避免将特定黑客活动归咎于特定政府。这种做法在2014年开始发生变化,当时FBI公开断定朝鲜政府应对一年前破坏性极强的索尼影业黑客事件负责。2018年,美国司法部起诉一名朝鲜特工涉嫌实施索尼黑客攻击并发布全球WannaCry勒索蠕虫病毒,该蠕虫病毒在2017年瘫痪了150多个国家的30万多用户计算机。去年,美国财政部制裁了三个韩国黑客组织,他们被控以关键基础设施为目标并从加密货币交易所窃取数百万美元。正如Cyber??scoop指出的那样,周五的公告标志着美国网络司令部首次公开确认朝鲜黑客行为,原因有一个:虽然朝鲜政府黑客通常使用的恶意软件和技术比其他国家少,但攻击的复杂性正在增加。包括路透社在内的新闻机构援引联合国去年8月的一份报告估计,朝鲜对银行和加密货币交易所的黑客攻击为该国的大规模杀伤性武器计划筹集了20亿美元的资金。参考:美国政府揭露朝鲜黑客使用的恶意软件:https://arstechnica.com/tech-policy/2020/02/us-government-exposes-malware-used-in-north-korean-sponsored-hacking-ops/联合国报告《朝鲜通过网络攻击获取20亿美元资助其武器计划》:https://www.reuters.com/article/us-northkorea-cyber-un/north-korea-took-2-billion-in-cyberattacks-to-fund-weapons-program-u-n-report-idUSKCN1UV1ZX【本文为专栏作者“李少鹏”原创文章,转载请通过暗牛(微信公众号id:gooann-sectv)获得授权】点此阅读作者更多好文
