疑似朝鲜黑客“借刀杀人”,利用泰国服务器进行全球网络攻击盗取17个国家的数据

发布时间:2018-04-28

本周,网络安全公司McAfee高级威胁研究团队发布了一项名为“Operation  GhostSecret”的全球黑客活动细节的报告。报告显示,与朝鲜政府相关的黑客组织Hidden Cobra在泰国使用服务器进行大规模网络间谍活动与恶意软件攻击。


1


McAfee研究人员表示,Hidden Cobra今年3月14日至18日对土耳其金融机构的攻击只是行动的一部分,这个攻击实际上波及了17个国家,包括泰国、美国、德国、日本、中国和澳大利亚,3月15日至19日,美国、澳大利亚、日本和中国的服务器多次受到感染。泰国近 50 台服务器受到恶意软件的严重打击,是所有国家中受到攻击最严重的。这一系列黑客活动的目的是窃取全球关键基础设施(如电信、金融、医疗、娱乐组织)的重要数据信息。


经分析,Operation GhostSecret活动非常复杂,利用了大量植入程序从受感染系统中窃取信息,而且设计错综繁复,以逃避侦查和欺骗法医调查人员。


另外,McAfee公司调查时发现,植入程序包括具有类似于Bankshot功能的未知植入程序,这个新的变体类似于2014年黑客攻击索尼影业活动中使用的部分Destover恶意软件。除此之外Hidden Cobra也被认为在去年五月进行了Wanna Cry恶意软件攻击,该攻击带来的瘫痪影响遍布全球。


McAfee 首席科学家 Raj Samani 指出:在监测这场战役时,我们发现,第一阶段攻击的曝光公开之后,并没有减缓攻击活动的进程。背后攻击者持续行动,而且还扩大了攻击范围、增加了他们使用的工具。


与此同时,周三泰国的计算机紧急响应小组(ThaiCERT)宣布已查获黑客活动使用的服务器,并已将其移交给执法机构。据悉,这台服务器位于泰国曼谷的泰国国立法政大学。该实体托管了索尼影视植入程序的控制服务器。自从索尼影视被攻击以来,这个SSL证书已被用于隐藏眼镜蛇行动。分析此证书可以揭示附加的控制服务器使用相同的PolarSSL证书。通过对McAfee遥测数据的进一步分析,他们找出了几个活跃的IP地址,其中两个IP地址与2018年类似Destover的植入物位于同一网段内。


目前McAfee公司正在与泰国政府当局合作,取消”Operation GhostSecret“的控制服务器基础设施,同时保留涉及的系统,供执法机关进一步分析。


1


报告还指出,朝鲜政府相关的黑客组织一直在扩大其网络犯罪的范围。最初,他们只是窃取军事机密以及窃取加密货币用于弥补政府的严重财政赤字,如今,已经扩展到多个行业和领域。近几个月的高风险网络攻击都与朝鲜黑客组织有关。例如,美国网络安全公司 Recorded Future 的研究人员表示,1 月份针对韩国加密货币交易所 Coinlink 的黑客攻击活动使用了与索尼和 WannaCry 攻击相同的恶意软件,背后就是 Lazarus 组织。 Lazarus 组织 2009 年就开始活跃,当时他们通过感染 MyDoom 病毒袭击美国和韩国的网站,造成了严重影响。