朝鮮黑客一直是世界各大安全公司的重點(diǎn)研究目標(biāo)，2017年4月底，賽門鐵克就曾發(fā)布過一個(gè)報(bào)告，認(rèn)為朝鮮網(wǎng)絡(luò)攻擊集團(tuán)對(duì)世界多國(guó)銀行發(fā)動(dòng)了攻擊，并預(yù)測(cè)其竊取資金超過一千億韓元（折合人民幣6.13億元）。

同時(shí)，還列出證據(jù)表明，朝鮮網(wǎng)絡(luò)攻擊的目標(biāo)包括孟加拉國(guó)、越南、厄瓜多爾、波蘭等國(guó)銀行，目前已經(jīng)從這些國(guó)家的銀行盜竊了至少 9400 萬美元。

一年之后，雷鋒網(wǎng)發(fā)現(xiàn)，又一知名安全公司邁克菲（McAfee）也同樣在4月底發(fā)布報(bào)告，再次挖出了朝鮮黑客的不少黑料。McAfee 高級(jí)威脅研究團(tuán)隊(duì)指出，經(jīng)過長(zhǎng)期的跟蹤研究，一項(xiàng)名為 Operation GhostSecret 的大型黑客活動(dòng)疑似與朝鮮政府支持的黑客組織 Lazarus 有關(guān)，因?yàn)楣糁惺褂昧伺c該組織有關(guān)的各種工具和惡意程序。

 Lazarus 你是不是聽著有些耳熟？對(duì)，就是那個(gè)曾對(duì)索尼影業(yè)公司進(jìn)行摧毀性攻擊、從孟加拉央行盜取8100萬美元、被認(rèn)為是 WannaCry 的重要幕后黑手的黑客團(tuán)伙 Lazarus 。

研究人員最初以為， Operation GhostSecret 只是 3 月初發(fā)生在幾個(gè)土耳其金融機(jī)構(gòu)和政府組織的大規(guī)模網(wǎng)絡(luò)攻擊，但 McAfee 的報(bào)告顯示，這個(gè)攻擊實(shí)際上波及了 17 個(gè)國(guó)家。背后攻擊者瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施、娛樂、金融、醫(yī)療保健和電信等多個(gè)行業(yè)，竊取業(yè)內(nèi)敏感數(shù)據(jù)，目前依舊活躍。

這個(gè)判斷并非是空穴來風(fēng)的推測(cè)，而是有了實(shí)錘，這個(gè)實(shí)錘就是找到了黑客所用的服務(wù)器的藏身之地！

據(jù)外媒 SecurityAffairs 的消息，泰國(guó)當(dāng)局在 ThaiCERT（相當(dāng)于泰國(guó)的國(guó)家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心）與邁克菲（McAfee）的協(xié)助下，找到了朝鮮 APT 組織 Hidden Cobra 使用的服務(wù)器。

泰國(guó)當(dāng)局發(fā)現(xiàn)，這臺(tái)服務(wù)器居然藏在一所泰國(guó)大學(xué)里，2014 年朝鮮黑客就借助這臺(tái)服務(wù)器讓索尼影業(yè)大量郵件和電影拷貝曝光。

在今年的 3 月 15 日至 19 日，美國(guó)、澳大利亞、日本和中國(guó)的服務(wù)器多次受到感染。泰國(guó)近 50 臺(tái)服務(wù)器更是受到惡意軟件的嚴(yán)重打擊，是所有國(guó)家中受到攻擊最嚴(yán)重的，也是出自這個(gè)服務(wù)器。

據(jù)悉，該服務(wù)器當(dāng)年是 Hidden Cobra 發(fā)動(dòng) GhostSecret 攻擊時(shí)的指揮和控制中樞。如果沒有邁克菲專家在全球范圍內(nèi)的不懈分析與調(diào)查，這臺(tái)服務(wù)器恐怕還安靜的躺在泰國(guó)那所大學(xué)中。

我們對(duì) GhostSecret 攻擊的調(diào)查顯示，黑客當(dāng)時(shí)用了多個(gè)惡意軟件進(jìn)行植入，其中包括性能與 Bankshot 類似的軟件。在 3 月 18 日到 26 日的調(diào)查中，我們發(fā)現(xiàn)惡意軟件其實(shí)分布在全球多個(gè)地方，這種新型變種在許多地方都與惡意軟件 Destover 類似，后者就是 2014 年讓索尼營(yíng)業(yè)元?dú)獯髠淖锟準(zhǔn)住?/p>

McAfee 在對(duì)控制服務(wù)器設(shè)施進(jìn)行進(jìn)一步調(diào)查后發(fā)現(xiàn)，與控制服務(wù)器203[.]131[.]222[.]83 捆綁的 SSL 證書 d0cb9b2d4809575e1bc1f4657e0eb56f307c7a76 在 2018 年 2 月的一次植入中也用到了，而這臺(tái)服務(wù)器屬于泰國(guó)法政大學(xué)。索尼影業(yè)被攻擊后，Hidden Cobra 就一直在使用這一 SSL 證書。

泰國(guó)是 Destover 變種感染的重災(zāi)區(qū)

雷鋒網(wǎng)發(fā)現(xiàn)，ThaiCERT 發(fā)布的一份安全公告指出，GhostSecret 攻擊今年 2 月份重出江湖。邁克菲也發(fā)現(xiàn)了三個(gè)屬于法政大學(xué)的 IP 地址（203.131.222.95、203.131.222.109、203.131.222.83），它們與攻擊脫不了干系。

可怕的是，現(xiàn)在這場(chǎng)攻擊還處在進(jìn)行時(shí)。

邁克菲表示，GhostSecret 是一場(chǎng)全球范圍的數(shù)據(jù)偵查項(xiàng)目，它針對(duì)的是關(guān)鍵基礎(chǔ)設(shè)施、娛樂、金融、醫(yī)療保健和通訊等。攻擊背后的黑客用上了多種植入物、工具和惡意軟件變種，其手法與當(dāng)年的 Hidden Cobra 如出一轍。

與此同時(shí)，McAfee 高級(jí)威脅研究團(tuán)隊(duì)還發(fā)現(xiàn)了一個(gè)未登記在案的植入物 Proxysvc，2017 年年中它就開始偷偷禍害別人了。

眼下，ThaiCERT 正聯(lián)合當(dāng)?shù)卣c邁克菲分析這臺(tái)服務(wù)器中的內(nèi)容，不知它們是否還能挖出什么驚天大秘密。

雷鋒網(wǎng) Via. SecurityAffairs

相關(guān)文章：探秘 | 比朝鮮核武器更炸裂更神秘的，是朝鮮黑客部隊(duì)

朝鮮 Lazarus 團(tuán)伙黑客工具分析

朝鮮網(wǎng)絡(luò)作戰(zhàn)部隊(duì)已達(dá)6800人，個(gè)個(gè)水平高超，韓國(guó)恐慌

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。