美国首次披露朝鲜国家黑客的七种武器

尽管朝鲜政府黑客使用的恶意软件和技术通常，不如其他国家黑客，但攻击的复杂性，却越来越高。...



点击蓝字关注我们

上周五美国五角大楼、联邦调查局和国土安全部披露，了朝鲜的黑客行动，并首次向公共恶意软件库提供了该活动中使用的，七种恶意软件的技术细节。

五角大楼美国网络司令部的，一个分支——美国网络国家任务部队（Cyber National Mission Force，简称CNMF）在Twitter上发文指出：

该恶意软件目前被（朝鲜政府）网络攻击者用于网络钓鱼和，远程访问，以进行非法活动，窃取资金和逃避制裁。该推文链接到恶意，软件库virustotal上的帖子，该帖子提供了密码哈希、文件名和其他技术详细，信息，可帮助防御者识别他们所，保护的网络内的威胁。美国国土安全部（DHS）网络安全和基础设施安，全局（IEA）的陪同顾问说，攻击活动来自Hidden Cobra——一个朝鲜政府赞助，的黑客组织。该组织更广为人知的代号来自，安全公司的安全研究人员的命名，包括Lazarus和Zinc。上周五，七个恶意软件家族中的六个被，上传到virustotal。其中包括：

• Bistromath，功能齐全的远程访问，木马和植入程序，可以执行系统调查、文件上载和下载、处理和命令执行以及，对麦克风、剪贴板和屏幕的监视。
• Slickshoes是一种“dropper”，可以加载但实际上不执行，属于一种“信标植入物”（Beaconing implant），可以实现bistromath的很，多功能。
• Hotcroissant，一种功能齐全，的信标植入物，可以完成上面列出的，许多操作（例如文件传输和屏幕抓取）。
• Artfulpie，一种从硬编码的url执行dll文件，的下载以及在内存中加载载荷和执行的植入物。
• Buttetline，另一种功能完备的植入物，但是它使用了伪造的https和经过修改，的rc4加密密码，以保持隐身状态。
• Crowdedflounder，一个Windows可执行文件，旨在将Remote Access trojan解压缩并执行到计算机，内存中。

据Cyberscoop报道，一位查看过恶意软件，分析报告的人士指出，这些恶意软件中许多都是典型的，远程访问木马（RAT），例如slickshoes具有rat，的许多常见功能，如反向外壳、屏幕捕获、文件盗窃和文件创建。其中有些恶意软件的时间戳可以，追溯到2016年，但有些则是最新创建，例如hotcroissant的编译时间戳，为去年7月，artfulpie的编译时间，戳是去年6月。

公开的恶意软件中，至少有一个与在印度活动的，朝鲜黑客组织有关，该组织与dtrack恶意软件，以及印度核电站攻击和atm盗窃有关。

过去，美国网络司令部通常不会在，公开文件中注明恶意软件的功能，但是从2019年下半年开始，网络司令部的，做法开始改变，包括此次公布的六个恶意软件都提供了包括，功能在内的详细信息。

首次公开披露国家黑客行动

美国网络安全与基础设施安全局（CSA）在周五的咨文中，还提供了先前披露的hoplight，的详细信息。hoplight是20个，文件的家族，是一种能够收集受害者，操作系统信息的特洛伊木马。这些恶意软件均未，包含伪造的数字签名，属于更高级黑客操作的，标准技术，可以更轻松地，绕过端点安全保护。hoplight之前已经被fbi和，dhs暴露。网络司令部还在去年9月公开了与，hoplight相关的活动。

卡巴斯基实验室全球研究与分析，团队负责人costin raiu在推特上发布了，一张图片，将周五公布的信息与卡巴斯基在其他lazarus活动中发现的，恶意软件样本进行了关联分析：上周五的联合咨文代表着美国政府的一种新做法——公开确认并披露外国黑客及其所，开展的活动信息。以前，美国政府官员大多避免将特定，的黑客活动归因于特定的政府。2014年，当联邦调查局公开得出结论，称，朝鲜政府是一年前对索尼影视，公司进行的具有高度破坏性的黑客攻击之后，这种方法开始发生变化。

2018年，美国司法部起诉了，一名朝鲜特工，称其实施了sony黑客攻击并释放了殃及全球，的wannacry勒索软件蠕虫，该蠕虫在2017年搞瘫了全球150多个国家，30多万用户的计算机。去年，美国财政部制裁了三个韩国，黑客组织，这些组织被指控针对关键，基础设施攻击，并在加密货币交易所窃取，了数百万美元。

正如Cyberscoop指出的那样，上周五的通告标志着美国网络司令部首次公开确认，了朝鲜的黑客行动，其原因之一是：尽管朝鲜政府黑客使用的恶意软件和技术通常，不如其他国家黑客，但攻击的复杂性，却越来越高。包括路透社在内的新闻机构引用了去年八月，的联合国报告估计，朝鲜对银行和加密货币交易所的黑客入侵为该国的大规模毁灭性，武器计划获取了20亿美元的资金。

参考资料

美国政府和盘托出朝鲜黑客的恶意软件信息：

https://arstechnica.com/tech-policy/2020/02/us-government-exposes-malware-used-in-north-korean-sponsored-hacking-ops/

联合国报告《朝鲜通过网络攻击获取20亿美元资助，其武器计划》：

https://www.reuters.com/article/us-northkorea-cyber-un/north-korea-took-2-billion-in-cyberattacks-to-fund-weapons-program-u-n-report-idUSKCN1UV1ZX



合作电话：18311333376
合作微信：aqniu001
投稿邮箱：editor@aqniu.com

    关注 安全牛