美國(guó)防部和航天部門遭受朝鮮黑客新一輪網(wǎng)絡(luò)攻擊
根據(jù)McAfee近日發(fā)布的報(bào)告指出,全球新冠病毒大流行期間,朝鮮黑客用虛假工作機(jī)會(huì)瞄準(zhǔn)美國(guó)國(guó)防和航空航天領(lǐng)域,以期感染那些尋求更好工作機(jī)會(huì)或晉升機(jī)會(huì)的員工。
報(bào)告透露,這個(gè)代號(hào)“北極星行動(dòng)”的攻擊活動(dòng)始于3月下旬,持續(xù)到2020年5月。
圖片來(lái)源:McAfee
McAfee認(rèn)為,“北極星行動(dòng)”與此前的“隱秘眼鏡蛇”(Hidden Cobra,美國(guó)政府對(duì)朝鮮黑客組織的統(tǒng)稱)組織使用了相似的基礎(chǔ)設(shè)施和TTP(技術(shù)、戰(zhàn)術(shù)和程序)。
用工作機(jī)會(huì)作誘餌
邁克菲表示,“北極星行動(dòng)”使用的是普通的魚叉式網(wǎng)絡(luò)釣魚電子郵件攻擊,誘使收件人打開包含所謂工作機(jī)會(huì)的誘騙文件。
McAfee首席科學(xué)家兼高級(jí)首席工程師克里斯蒂安·比克(Christiaan Beek)表示,在過(guò)去的2017年和2019年,許多黑客團(tuán)體都喜歡使用這種套路,而朝鮮黑客也曾在針對(duì)美國(guó)國(guó)防部門的攻擊中使用過(guò)這種誘惑戰(zhàn)術(shù)。
美國(guó)政府認(rèn)為,2017年的朝鮮黑客攻擊事件中,攻擊者也曾參與WannaCry勒索軟件的開發(fā)。
但是2020年的攻擊也有所不同,攻擊者開始通過(guò)社交網(wǎng)絡(luò)而不是電子郵件來(lái)接觸受害者。
下圖概述了惡意軟件從接觸到運(yùn)作的整個(gè)感染鏈,McAfee報(bào)告中則提供了詳盡的技術(shù)細(xì)節(jié)。
圖片來(lái)源:McAfee
但是,有關(guān)這項(xiàng)運(yùn)動(dòng)的效果仍存在疑問(wèn)。鑒于冠狀病毒大流行期間的勞動(dòng)力流動(dòng)一直處于歷史低位,目前尚不清楚朝鮮黑客通過(guò)采用“新工作”主題來(lái)吸引受害者是否收到預(yù)期效果。
遺憾的是,McAfee表示自己無(wú)法訪問(wèn)投放誘餌的釣魚電子郵件,僅設(shè)法恢復(fù)了被劫持的文檔并消除了惡意軟件有效載荷。
結(jié)果,McAfee無(wú)法準(zhǔn)確確定哪些美國(guó)國(guó)防或航空公司是這些攻擊的目標(biāo),因此無(wú)法通知用戶。
McAfee表示,唯一能確定的是虛假職位的性質(zhì)(高級(jí)設(shè)計(jì)工程師和系統(tǒng)工程師),以及黑客試圖“招募”以下國(guó)防計(jì)劃的相關(guān)人員:
- F-22戰(zhàn)斗機(jī)計(jì)劃
- 國(guó)防、太空與安全(DSS)
- 太空太陽(yáng)能電池用光伏技術(shù)
- 航空綜合戰(zhàn)斗機(jī)集團(tuán)
- 軍用飛機(jī)現(xiàn)代化計(jì)劃
McAfee首席科學(xué)家Raj Samani昨天表示,已按照例行程序聯(lián)系美國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu),將該攻擊事件通知當(dāng)局。
攻擊的主要目的是收集情報(bào)
McAfee的報(bào)告指出,這些攻擊的要點(diǎn)也很明確,“北極星行動(dòng)”戰(zhàn)役顯然是朝鮮進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)和情報(bào)收集工作的一部分。由于該國(guó)受到嚴(yán)厲的經(jīng)濟(jì)制裁,缺乏自給自足的軍工聯(lián)合體,因此它只能通過(guò)竊取所需信息來(lái)支持其核武器計(jì)劃和野心。
與此同時(shí),McAfee還認(rèn)為朝鮮維持其核計(jì)劃的另一種方式是允許其黑客從事“普通”網(wǎng)絡(luò)犯罪獲取經(jīng)費(fèi)并從事洗錢活動(dòng)。安全公司卡巴斯基(Kaspersky)周二發(fā)表了研究報(bào)告,將朝鮮的黑客與一種名為VHD的新型勒索軟件聯(lián)系起來(lái)。
在此之前,該黑客組織還與各種網(wǎng)絡(luò)犯罪活動(dòng)相關(guān),例如BEC商務(wù)郵件攻擊、Magecart攻擊、銀行網(wǎng)絡(luò)搶劫、加密貨幣入侵和詐騙、ATM提款和加密礦僵尸網(wǎng)絡(luò)。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
