新分析从另一角度再次指证朝鲜是孟加拉央行8100万美元网络劫案和索尼影业黑客事件背后主谋。
莫斯科威胁情报公司Group-IB“确认”:对孟加拉央行和数家波兰银行发起攻击的Lazarus网络犯罪团伙,与朝鲜有关。Group-IB分析师深入分析了该网络罪犯的C2基础设施,审查了其他威胁情报信息,最终得出这一结论。
西方情报机构和私营网络安全公司,同样将朝鲜放在这一系列网络攻击的头号疑犯位置。Group-IB称,其研究与之前的工作略有不同,不仅仅依靠恶意软件分析或基于恶意软件分析的归因,而是更依赖可靠的基础设施研究。Group-IB比其他安全机构更坚定指称朝鲜就是背后主谋。
博客文章中,Group-IB写道:
Group-IB的专家们深入调查了Lazarus组织的活动,剖析了他们用以执行攻击的复杂僵尸网络基础设施。除了繁琐的3层架构、加密信道、VPN服务和其他高级技术,研究人员还发现:该组织是从朝鲜普通江区(Potonggang)发起的攻击。或许是巧合吧,朝鲜最高军事机构“国防委员会”也坐落在普通江区。
据称,Lazarus受朝鲜情报机构侦察总局下属的121局控制。
Lazarus(又名“黑暗首尔帮”)最开始进入人们的视线,是因为一系列的分布式拒绝服务(DDoS)攻击和对全球政府、军队及航天机构的黑客攻击活动。
“特洛伊行动”是与该组织相关的最早的攻击活动,2009-2012年间持续,涉及对韩国政府目标不太高明的DDoS攻击。
2014年,索尼影业黑客事件让Lazarus声名鹊起。该事件中,索尼影业雇员及其家人的个人信息、公司内部电子邮件、尚未发行的索尼电影拷贝及其他信息被盗。部分被盗数据随后泄于网上。
压力积聚
随着朝鲜面临的全球经济压力增加,Lazarus转战跨国金融公司以攫取经济和情报利益。2016年,该组织试图从孟加拉央行SWIFT系统盗取9500万美元。仅仅因为支付请求中的一个拼写错误,暴露了欺诈企图,让非法得利从预计的9500万美元稍微缩水,但仍达到了可观的8100万美元。
德米特里·沃尔科夫,Group-IB共同创始人兼该公司威胁情报部门总监,评论道:
我们的研究证明,朝鲜Lazarus组织采取了非凡的预警措施,将攻击切分称多个阶段,手动执行所有的模块。这样一来,即便攻击被检测到,安全研究人员也需要花费大量时间和精力来调查。为隐藏恶意活动,这些黑客还采用了3层C2基础设施,并试图伪装成俄罗斯人。
通过对被黑网络的分析,Group-IB识别出美国、加拿大、英国、印度、保加利亚、波兰和土耳其各大学的IP地址;日本和中国的制药公司;多个国家的政府子网,都被Lazarus组织利用来进行攻击了。
Lazarus组织的金融机构攻击方法论,他们所用的恶意软件,还有他们的主要目标等更多信息,可参见Group-IB的博客文章(http://blog.group-ib.com/lazarus)。
完整报告:
相关阅读
孟加拉央行8100万美元劫案线索直指朝鲜
赛门铁克:“高度怀疑”WannaCry的幕后黑手是朝鲜
