信息來源:E安全
據(jù)外媒報(bào)道�,近日由韓國支持的間諜組織“黑暗旅館”成為了利用秘密軟件漏洞,對朝鮮實(shí)施間諜活動(dòng)的頭號嫌疑人���。根據(jù)數(shù)據(jù)統(tǒng)計(jì)�����,在朝鮮����,電腦的利用率還并不高,大多數(shù)朝鮮人很少利用電腦辦公����。但是,在過去的一年里�,似乎有不少朝鮮人遭遇了嚴(yán)重的黑客攻擊,對此一些研究人員懷疑這可能是韓國實(shí)施了一場復(fù)雜的間諜活動(dòng)�。
“黑暗旅館”組織由來已久
據(jù)信,“黑暗酒店”的黑客至少從2007年就開始活躍了����,但是卡巴斯基在2014年才開始給該組織起名字。因?yàn)檠芯咳藛T發(fā)現(xiàn)該組織最初是在破壞酒店的Wi-Fi網(wǎng)絡(luò)���,根據(jù)房間號碼對特定的酒店客人進(jìn)行針對性很強(qiáng)的攻擊��,因此給他們起了這個(gè)名字��。研究人員表示�����,“黑暗旅館”長期以來一直對朝鮮和中國的關(guān)鍵用戶進(jìn)行黑客攻擊�����,尤其是發(fā)起相關(guān)間諜活動(dòng)�����,入侵者從這些目標(biāo)中獲取他們感興趣的文件��、電子郵件和重要研究數(shù)據(jù)等�����?!昂诎德灭^”被廣泛懷疑是由韓國政府掌控的��,因此研究人員暫時(shí)將“黑暗旅館”的可疑贊助者命名為韓國���。
近期�,谷歌威脅分析小組的網(wǎng)絡(luò)安全研究人員透露稱�,一組不知名的黑客在2019年期間利用了至少5個(gè)零日軟件漏洞,黑客通過這些零日漏洞來破解電腦系統(tǒng)防線���,以此攻擊和監(jiān)控朝鮮相關(guān)行業(yè)專家和研究人員的電腦信息�。黑客利用Explorer、Chrome和Windows的漏洞����,發(fā)送帶有惡意附件或鏈接到惡意網(wǎng)站的釣魚郵件,還有所謂的“水坑攻擊”(waterhole attack)�����,當(dāng)受害者訪問某些網(wǎng)站時(shí)�����,他們的電腦上就會(huì)被植入惡意軟件����。但是,谷歌拒絕就誰應(yīng)該對此攻擊負(fù)責(zé)發(fā)表評論����。對此,俄羅斯安全公司卡巴斯基告訴相關(guān)外媒雜志�,他們已將谷歌的發(fā)現(xiàn)與“黑暗旅館”的行動(dòng)聯(lián)系起來,“黑暗旅館”在過去曾被懷疑為韓國政府工作���,將朝鮮用戶作為目標(biāo)�。
同時(shí),研究員觀察到韓國針對朝鮮發(fā)起攻擊的大部分目標(biāo)�����,都與和朝鮮相關(guān)軍事政治行業(yè)有關(guān)�����。在對一個(gè)跟蹤?quán)]件進(jìn)行分析后,谷歌表示雖然此類攻擊的受害者不局限于朝鮮�����,但朝鮮政權(quán)依舊還是最主要的目標(biāo)�。在谷歌將零日漏洞與針對朝鮮攻擊聯(lián)系起來的幾個(gè)小時(shí)后��,卡巴斯基的研究人員就已經(jīng)將Windows中和Internet explorer中的兩個(gè)漏洞與“黑暗旅館”的那些攻擊特征聯(lián)系起來�����,嘗試推進(jìn)漏洞的特征匹配分析����。
復(fù)雜并極具難度的攻擊方式
相關(guān)專家表示,對于韓國而言,監(jiān)視朝鮮��,竊取朝鮮的重要行業(yè)信息并不讓人意外���,因?yàn)轫n國和朝鮮的關(guān)系一直非常緊張�。但是�����,韓國可以在一年內(nèi)五次利用零日漏洞進(jìn)行入侵行動(dòng)著實(shí)令人驚訝��,畢竟這種攻擊具有一定復(fù)雜性���,還對資源獲取能力有一定要求�。對此���,谷歌網(wǎng)絡(luò)安全公司研究員Toni Gidwani在該公司的博客中表示�����,在相對較短的時(shí)間內(nèi)����,能夠從同一目標(biāo)對象上發(fā)現(xiàn)這么多零日漏洞非常罕見。
僅僅在過去的三年里�,卡巴斯基發(fā)現(xiàn)“黑暗旅館”使用了三個(gè)零日漏洞,而根據(jù)谷歌現(xiàn)在的博客文章����,該組織在一年內(nèi)就利用了五個(gè)零日漏洞。而且�����,卡巴斯基研究人員表示這些攻擊者似乎是在內(nèi)部完成所有入侵工作的�,而不是使用其他來源的代碼���,這說明他們的技術(shù)水平很高���,該組織很可能是世界上最足智多謀的黑客組織之一。
據(jù)悉�����,卡巴斯基的研究人員此前就曾發(fā)現(xiàn)這些類似漏洞�����,利用它們在客戶的電腦上植入已知的“黑暗酒店”(DarkHotel)惡意軟件??ò退够蜓芯颗c分析團(tuán)隊(duì)的負(fù)責(zé)人科斯汀·拉尤(Costin Raiu)表示,darkhotel.com有關(guān)的攻擊行為發(fā)生在微軟修補(bǔ)其漏洞之前����,這表明darkhotel.com不僅僅是在重復(fù)利用同一個(gè)漏洞,因此�,谷歌將被發(fā)現(xiàn)的5個(gè)零日漏洞都?xì)w為該黑客組織所有。
美國國家安全局黑客和攻擊安全會(huì)議的創(chuàng)始人 Dave Aitel對此表示��,目前谷歌發(fā)現(xiàn)的大多數(shù)零日漏洞和朝鮮攻擊都存在與Internet Explorer中,黑客用了創(chuàng)造性的方式來使用這些漏洞���,并在微軟的瀏覽器代碼中入侵受害者使用的軟件系統(tǒng)�����。
據(jù)悉�,在微軟的一份Office文檔中發(fā)現(xiàn)了一個(gè)Internet Explorer漏洞���,該漏洞僅僅是調(diào)用web瀏覽器代碼就啟動(dòng)了嵌入文檔中的在線視頻�。此外���,在另一個(gè)案例中�����,黑客修改并利用了IE沙盒中的一個(gè)漏洞���,就繞過了FireFox沙盒的安全特性檢測�,可以將瀏覽器中的代碼與計(jì)算機(jī)中的其他部分隔離開來���。Aitel表示�����,這個(gè)組織的黑客能夠利用這些漏洞進(jìn)行工程設(shè)計(jì),使之適合他們自己的框架�����,這真的展現(xiàn)了他們操作上的高水平�。同時(shí),Aitel指出��,針對該組織的復(fù)雜程度應(yīng)該提醒那些在防御黑客資源方面被視為“二線”的國家���,即除了俄羅斯�����、中國和美國以外的那些國家���。由于部分國家和用戶低估了該組織帶來的風(fēng)險(xiǎn)���,才為這些組織提供了越來越多的入侵機(jī)會(huì)。
