信息來源：安全牛

上周五美國五角大樓、聯(lián)邦調(diào)查局和國土安全部披露了朝鮮的黑客行動，并首次向公共惡意軟件庫提供了該活動中使用的七種惡意軟件的技術(shù)細(xì)節(jié)。

五角大樓美國網(wǎng)絡(luò)司令部的一個(gè)分支——美國網(wǎng)絡(luò)國家任務(wù)部隊(duì)（Cyber National Mission Force，簡稱CNMF）在Twitter上發(fā)文指出：

該惡意軟件目前被（朝鮮政府）網(wǎng)絡(luò)攻擊者用于網(wǎng)絡(luò)釣魚和遠(yuǎn)程訪問，以進(jìn)行非法活動，竊取資金和逃避制裁。該推文鏈接到惡意軟件庫VirusTotal上的帖子，該帖子提供了密碼哈希、文件名和其他技術(shù)詳細(xì)信息，可幫助防御者識別他們所保護(hù)的網(wǎng)絡(luò)內(nèi)的威脅。

美國國土安全部（DHS）網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（IEA）的陪同顧問說，攻擊活動來自Hidden Cobra——一個(gè)朝鮮政府贊助的黑客組織。該組織更廣為人知的代號來自安全公司的安全研究人員的命名，包括Lazarus和Zinc。上周五，七個(gè)惡意軟件家族中的六個(gè)被上傳到VirusTotal。其中包括：

• Bistromath，功能齊全的遠(yuǎn)程訪問木馬和植入程序，可以執(zhí)行系統(tǒng)調(diào)查、文件上載和下載、處理和命令執(zhí)行以及對麥克風(fēng)、剪貼板和屏幕的監(jiān)視。
• Slickshoes是一種“dropper”，可以加載但實(shí)際上不執(zhí)行，屬于一種“信標(biāo)植入物”（Beaconing implant），可以實(shí)現(xiàn)Bistromath的很多功能。
• Hotcroissant，一種功能齊全的信標(biāo)植入物，可以完成上面列出的許多操作（例如文件傳輸和屏幕抓取）。
• Artfulpie，一種從硬編碼的URL執(zhí)行DLL文件的下載以及在內(nèi)存中加載載荷和執(zhí)行的植入物。
• Buttetline，另一種功能完備的植入物，但是它使用了偽造的HTTPS和經(jīng)過修改的RC4加密密碼，以保持隱身狀態(tài)。
• Crowdedflounder，一個(gè)Windows可執(zhí)行文件，旨在將Remote Access Trojan解壓縮并執(zhí)行到計(jì)算機(jī)內(nèi)存中。

據(jù)Cyberscoop報(bào)道，一位查看過惡意軟件分析報(bào)告的人士指出，這些惡意軟件中許多都是典型的遠(yuǎn)程訪問木馬（RAT），例如Slickshoes具有RAT的許多常見功能，如反向外殼、屏幕捕獲、文件盜竊和文件創(chuàng)建。其中有些惡意軟件的時(shí)間戳可以追溯到2016年，但有些則是最新創(chuàng)建，例如Hotcroissant的編譯時(shí)間戳為去年7月，Artfulpie的編譯時(shí)間戳是去年6月。公開的惡意軟件中，至少有一個(gè)與在印度活動的朝鮮黑客組織有關(guān)，該組織與DTrack惡意軟件以及印度核電站攻擊和ATM盜竊有關(guān)。

過去，美國網(wǎng)絡(luò)司令部通常不會在公開文件中注明惡意軟件的功能，但是從2019年下半年開始，網(wǎng)絡(luò)司令部的做法開始改變，包括此次公布的六個(gè)惡意軟件都提供了包括功能在內(nèi)的詳細(xì)信息。

首次公開披露國家黑客行動美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CSA）在周五的咨文中，還提供了先前披露的Hoplight的詳細(xì)信息。Hoplight是20個(gè)文件的家族，是一種能夠收集受害者操作系統(tǒng)信息的特洛伊木馬。這些惡意軟件均未包含偽造的數(shù)字簽名，屬于更高級黑客操作的標(biāo)準(zhǔn)技術(shù)，可以更輕松地繞過端點(diǎn)安全保護(hù)。Hoplight之前已經(jīng)被FBI和DHS暴露。網(wǎng)絡(luò)司令部還在去年9月公開了與Hoplight相關(guān)的活動。

卡巴斯基實(shí)驗(yàn)室全球研究與分析團(tuán)隊(duì)負(fù)責(zé)人Costin Raiu在推特上發(fā)布了一張圖片，將周五公布的信息與卡巴斯基在其他Lazarus活動中發(fā)現(xiàn)的惡意軟件樣本進(jìn)行了關(guān)聯(lián)分析：

上周五的聯(lián)合咨文代表著美國政府的一種新做法——公開確認(rèn)并披露外國黑客及其所開展的活動信息。以前，美國政府官員大多避免將特定的黑客活動歸因于特定的政府。2014年，當(dāng)聯(lián)邦調(diào)查局公開得出結(jié)論稱，朝鮮政府是一年前對索尼影視公司進(jìn)行的具有高度破壞性的黑客攻擊之后，這種方法開始發(fā)生變化。

2018年，美國司法部起訴了一名朝鮮特工，稱其實(shí)施了Sony黑客攻擊并釋放了殃及全球的WannaCry勒索軟件蠕蟲，該蠕蟲在2017年搞癱了全球150多個(gè)國家30多萬用戶的計(jì)算機(jī)。去年，美國財(cái)政部制裁了三個(gè)韓國黑客組織，這些組織被指控針對關(guān)鍵基礎(chǔ)設(shè)施攻擊，并在加密貨幣交易所竊取了數(shù)百萬美元。

正如Cyberscoop指出的那樣，上周五的通告標(biāo)志著美國網(wǎng)絡(luò)司令部首次公開確認(rèn)了朝鮮的黑客行動，其原因之一是：盡管朝鮮政府黑客使用的惡意軟件和技術(shù)通常不如其他國家黑客，但攻擊的復(fù)雜性卻越來越高。包括路透社在內(nèi)的新聞機(jī)構(gòu)引用了去年八月的聯(lián)合國報(bào)告估計(jì)，朝鮮對銀行和加密貨幣交易所的黑客入侵為該國的大規(guī)模毀滅性武器計(jì)劃獲取了20億美元的資金。

參考資料美國政府和盤托出朝鮮黑客的惡意軟件信息：https://arstechnica.com/tech-policy/2020/02/us-government-exposes-malware-used-in-north-korean-sponsored-hacking-ops/

聯(lián)合國報(bào)告《朝鮮通過網(wǎng)絡(luò)攻擊獲取20億美元資助其武器計(jì)劃》：

https://www.reuters.com/article/us-northkorea-cyber-un/north-korea-took-2-billion-in-cyberattacks-to-fund-weapons-program-u-n-report-idUSKCN1UV1ZX