来源: 时间:2022-05-06 09:35:05
随着历史上最大的勒索软件攻击 “WannaCry” 之后的尘埃落定,网络安全专家正在深入探讨它是如何实施的,可以做些什么来保护计算机免受未来的入侵,以及最棘手的是,谁才是真正的罪魁祸首。对于许多人来说,似乎最后一个问题已经解决了: 是朝鲜。
但是,除了经常使用的速记朝鲜可能是这次袭击的幕后黑手之外,还有一个更加复杂和启发性的故事: 一群臭名昭著的工作狂黑客的崛起,统称为 “拉撒路”,谁可能在中国东北使用秘密巢穴,并创建了一个虚拟的 “恶意软件工厂”,将来可能会造成更大的破坏。
这里的大警告: 拉撒路没有透露太多关于自己的信息。对该组织知之甚少的是投机性的。然而,对其活动的广泛的法医研究可以追溯到近十年前,描绘了一个令人着迷的、令人不寒而栗的黑客集体的画面,这个集体是唯利是图的、顽强的、受似乎是政治和金融目标的混合驱使的。他们的指纹遍布WannaCry。
那么,他们是谁?
百视达行动
就在2014年12月19日,在一次毁灭性的黑客攻击阻碍了索尼影视娱乐公司 (Sony pictures Entertainment) 的一个月后,美国联邦调查局 (FBI) 在圣地亚哥的总部外办事处发布了一份新闻稿,称朝鲜是罪魁祸首,并称此类网络攻击对美国构成 “最严重的国家安全危险之一”。
声明说: “这次袭击的破坏性,加上它的强制性,使它与众不同。”“朝鲜的行动旨在对美国企业造成重大伤害,并压制美国公民表达自己的权利。这种恐吓行为超出了可接受的国家行为的范围。"
FBI列出了特定代码行,加密算法,数据删除方法和受损网络中的相似性,以进行确定。它说,攻击中使用的基础设施与以前直接链接到朝鲜的其他网络活动之间存在重大重叠,其中包括几个硬编码到数据删除恶意软件中的internet协议地址。此后,它声称应归咎于朝鲜的说法一直受到广泛争议。
为了分析索尼的黑客攻击,由诺维塔 (Novetta) 领导的行业财团发起了 “百视达行动” (Operation Blockbuster),该组织2016年发布了迄今为止有关该攻击的最详细的公开报告。其调查结果与联邦调查局的结论一致,即策略、工具和能力强烈表明了一个 “结构化、资源丰富和积极进取的组织” 的工作,但表示其分析不能支持一个民族国家的直接归属。相反,它确定攻击 “是由单个小组或潜在紧密联系的小组进行的,共享技术资源,基础设施甚至任务分配。”它命名为拉撒路组织。
百视达行动 (Operation Blockbuster) 追踪了拉撒路 (Lazarus) 活动的第一批线索,2009年或可能是2007年,对美国和韩国网站进行了大规模的拒绝服务攻击。随后是持续2009年2013年的 “特洛伊行动” 网络间谍活动; “十天的雨”,使用受损计算机对韩国媒体、金融机构和美国军事设施进行拒绝服务攻击; 以及对韩国广播公司和银行的攻击 “黑暗首尔”。
“这是一个坚定的对手,拥有开发独特的、面向任务的恶意软件工具的资源,” 这份长达100页的报告总结道。
朝鲜黑客还是网络雇佣军?
网络安全巨头卡巴斯基实验室 (Kaspersky Labs) 的研究人员也参加了 “百视达行动” (Operation Blockbuster),分析了涉嫌与拉撒路 (Lazarus) 相关的账户的时间戳,以创建其黑客的个人资料。
他们推测攻击者可能位于格林威治标准时间之前八到九个小时的时区-包括中国,马来西亚和印度尼西亚的部分地区,以及其他地方-因为他们似乎在格林尼治标准时间午夜左右开始工作并休息三个小时后的午餐。他们甚至声称黑客每晚的睡眠时间约为6-7个小时。
它说: “这表明一个非常努力的团队,可能比我们分析过的任何其他高级持续威胁组织都更加努力。”它还说,可疑的拉撒路活动的参考样本表明,在使用的大多数计算机上,至少有一种韩语资源。
总部位于华盛顿的智库关键基础设施技术研究所 (Institute for Critical Infrastructure Technology) 的高级研究员詹姆斯·斯科特 (James Scott) 说: “该组织通过广泛使用“ 恶意软件工厂 ”来快速开发、变异和进化恶意软件。“从本质上讲,据信他们将新的恶意软件和恶意软件变体的快速开发分包或外包给众多外部威胁参与者。”
斯科特说,拉撒路与朝鲜之间的任何联系仍不清楚,但存在四种可能性: 拉撒路隶属于朝鲜。它是朝鲜附属人员的独立附带行动。它完全独立于朝鲜。这是一个网络雇佣军集体,偶尔代表朝鲜工作。
斯科特说: “没有确凿的证据表明拉撒路是国家资助的。” 他补充说,拉撒路 “总是表现出资源充足和有组织的网络犯罪分子或网络雇佣军集体的特征。”
另请阅读:WannaCry: CERT-In问题针对全球勒索软件攻击的警报
网络安全公司Flashpoint亚太研究总监乔恩·康德拉 (Jon Condra) 谨慎地指出,至少有一些拉撒路集团的黑客可能在中国以外工作,他们可能包括朝鲜人。Flashpoint分析了以28种语言发布的WannaCry ransom笔记,并确定除三种语言外的所有笔记都是使用翻译软件创建的 _ 建议其作者包括母语为中文且流利但英语不完美的人类成员。
他说: “人们普遍认为,至少有一些朝鲜黑客单位在中国东北地区 -- 特别是沉阳市 -- 开展活动,但确凿的证据很少。”“拉撒路团完全有可能不是完全由朝鲜演员组成,也可能有中国成员。”他补充说,即使这样,也是推测性的: “我们真的对拉撒路集团的组成没有清晰的了解。”
不断变化的对手
卡巴斯基在去年2月从孟加拉国中央银行企图抢劫9亿美元后,再次对拉撒路进行了调查。发现拉撒路既在加速活动,又在迅速变形。根据卡巴斯基的说法,拉撒路集团现在拥有自己的网络犯罪小组,称为BlueNoroff,以通过攻击银行,赌场,金融机构和交易员来帮助其运营。
“拉撒路行动的规模令人震惊,” 其报告称。“这是需要在运营的所有阶段进行严格的组织和控制的事情,这样的过程需要大量的资金来继续运营业务。”网络战的破坏性和 “不对称” 性质显然使它成为一种武器,朝鲜可以被认为是想要在军事冲突中利用其强大得多的对手。网络犯罪似乎对朝鲜也极具吸引力。
很难追踪,可以廉价地完成,对于那些能够掌握技术专长的人来说,机会似乎无处不在。与朝鲜政权过去被指控的其他活动 (例如贩毒和伪造100美元钞票) 相比,这似乎是获取非法收入的风险较小的手段。
华盛顿、首尔和来自朝鲜的叛逃者都声称,朝鲜正在努力训练一支网络战士军队,主要是在其主要情报机构侦察总局内。韩国表示,朝鲜的网络军2015年由6,800名黑客组成。但是独立专家往往不会从字面上理解这种说法。
斯科特 (Scott) 和康德拉 (Condra) 警告说,有关朝鲜网络军的报道大部分来自叛逃者或具有自旋动机的敌对政府,并被党派或寻求关注的媒体所放大。叛逃者的见解很有价值,是的。但是,即使他们不是出于政治动机,他们也受到访问范围和内部知识 _ 的限制,并且通常已经过时了。
仍然缺少链接
美国政府并未将WannaCry归咎于朝鲜。国家情报总监丹·科茨 (Dan Coats) 上周在国会听证会上说: “我们知道朝鲜有能力做这种事情,但我们仍在评估来源。”然而,高士补充说,网络攻击可能是 “目前对美国的最重大威胁”。
将网络犯罪归咎于网络犯罪是一项西西弗式的任务。一个已知的团体可能声称有责任。它可能使用可追溯的internet协议地址或唯一代码。它的方法和工具可能会揭示一种模式。通常,它会做以上所有事情,甚至更多,试图引导调查人员走上一条错误的道路。确定一个民族国家的角色可能更加困难。
归因于拉撒路集团 (Lazarus Group) 的一些竞选活动表明,熟练的对手比拥有国家全力支持的对手所期望的要低-这是大西洋理事会网络治国倡议副主任博·伍兹 (Beau Woods) 的一个因素,says表示国家和非国家行为者之间的 “模糊界限”。
他说: “许多国家允许或至少容忍非国家行为者在做意识形态上一致的事情。”“对于朝鲜来说,他们似乎非常依赖这种犯罪分子 -- 业余爱好者 -- 专业人士。这是问号的主导。”
他说: “无论是谁做的,我们从WannaCry中学到的最大教训是,我们的一些关键基础设施是多么脆弱、容易暴露和暴露。”“当赌注如此之高时,我们欠它的比我们到目前为止看到的更多的勤奋。”
相关推荐
猜你喜欢