信息來(lái)源:E安全
據(jù)外媒報(bào)道,近日由韓國(guó)支持的間諜組織“黑暗旅館”成為了利用秘密軟件漏洞,對(duì)朝鮮實(shí)施間諜活動(dòng)的頭號(hào)嫌疑人。根據(jù)數(shù)據(jù)統(tǒng)計(jì),在朝鮮,電腦的利用率還并不高,大多數(shù)朝鮮人很少利用電腦辦公。但是,在過(guò)去的一年里,似乎有不少朝鮮人遭遇了嚴(yán)重的黑客攻擊,對(duì)此一些研究人員懷疑這可能是韓國(guó)實(shí)施了一場(chǎng)復(fù)雜的間諜活動(dòng)。
“黑暗旅館”組織由來(lái)已久
據(jù)信,“黑暗酒店”的黑客至少?gòu)?007年就開(kāi)始活躍了,但是卡巴斯基在2014年才開(kāi)始給該組織起名字。因?yàn)檠芯咳藛T發(fā)現(xiàn)該組織最初是在破壞酒店的Wi-Fi網(wǎng)絡(luò),根據(jù)房間號(hào)碼對(duì)特定的酒店客人進(jìn)行針對(duì)性很強(qiáng)的攻擊,因此給他們起了這個(gè)名字。研究人員表示,“黑暗旅館”長(zhǎng)期以來(lái)一直對(duì)朝鮮和中國(guó)的關(guān)鍵用戶進(jìn)行黑客攻擊,尤其是發(fā)起相關(guān)間諜活動(dòng),入侵者從這些目標(biāo)中獲取他們感興趣的文件、電子郵件和重要研究數(shù)據(jù)等?!昂诎德灭^”被廣泛懷疑是由韓國(guó)政府掌控的,因此研究人員暫時(shí)將“黑暗旅館”的可疑贊助者命名為韓國(guó)。
近期,谷歌威脅分析小組的網(wǎng)絡(luò)安全研究人員透露稱,一組不知名的黑客在2019年期間利用了至少5個(gè)零日軟件漏洞,黑客通過(guò)這些零日漏洞來(lái)破解電腦系統(tǒng)防線,以此攻擊和監(jiān)控朝鮮相關(guān)行業(yè)專家和研究人員的電腦信息。黑客利用Explorer、Chrome和Windows的漏洞,發(fā)送帶有惡意附件或鏈接到惡意網(wǎng)站的釣魚(yú)郵件,還有所謂的“水坑攻擊”(waterhole attack),當(dāng)受害者訪問(wèn)某些網(wǎng)站時(shí),他們的電腦上就會(huì)被植入惡意軟件。但是,谷歌拒絕就誰(shuí)應(yīng)該對(duì)此攻擊負(fù)責(zé)發(fā)表評(píng)論。對(duì)此,俄羅斯安全公司卡巴斯基告訴相關(guān)外媒雜志,他們已將谷歌的發(fā)現(xiàn)與“黑暗旅館”的行動(dòng)聯(lián)系起來(lái),“黑暗旅館”在過(guò)去曾被懷疑為韓國(guó)政府工作,將朝鮮用戶作為目標(biāo)。
同時(shí),研究員觀察到韓國(guó)針對(duì)朝鮮發(fā)起攻擊的大部分目標(biāo),都與和朝鮮相關(guān)軍事政治行業(yè)有關(guān)。在對(duì)一個(gè)跟蹤?quán)]件進(jìn)行分析后,谷歌表示雖然此類攻擊的受害者不局限于朝鮮,但朝鮮政權(quán)依舊還是最主要的目標(biāo)。在谷歌將零日漏洞與針對(duì)朝鮮攻擊聯(lián)系起來(lái)的幾個(gè)小時(shí)后,卡巴斯基的研究人員就已經(jīng)將Windows中和Internet explorer中的兩個(gè)漏洞與“黑暗旅館”的那些攻擊特征聯(lián)系起來(lái),嘗試推進(jìn)漏洞的特征匹配分析。
復(fù)雜并極具難度的攻擊方式
相關(guān)專家表示,對(duì)于韓國(guó)而言,監(jiān)視朝鮮,竊取朝鮮的重要行業(yè)信息并不讓人意外,因?yàn)轫n國(guó)和朝鮮的關(guān)系一直非常緊張。但是,韓國(guó)可以在一年內(nèi)五次利用零日漏洞進(jìn)行入侵行動(dòng)著實(shí)令人驚訝,畢竟這種攻擊具有一定復(fù)雜性,還對(duì)資源獲取能力有一定要求。對(duì)此,谷歌網(wǎng)絡(luò)安全公司研究員Toni Gidwani在該公司的博客中表示,在相對(duì)較短的時(shí)間內(nèi),能夠從同一目標(biāo)對(duì)象上發(fā)現(xiàn)這么多零日漏洞非常罕見(jiàn)。
僅僅在過(guò)去的三年里,卡巴斯基發(fā)現(xiàn)“黑暗旅館”使用了三個(gè)零日漏洞,而根據(jù)谷歌現(xiàn)在的博客文章,該組織在一年內(nèi)就利用了五個(gè)零日漏洞。而且,卡巴斯基研究人員表示這些攻擊者似乎是在內(nèi)部完成所有入侵工作的,而不是使用其他來(lái)源的代碼,這說(shuō)明他們的技術(shù)水平很高,該組織很可能是世界上最足智多謀的黑客組織之一。
據(jù)悉,卡巴斯基的研究人員此前就曾發(fā)現(xiàn)這些類似漏洞,利用它們?cè)诳蛻舻碾娔X上植入已知的“黑暗酒店”(DarkHotel)惡意軟件。卡巴斯基全球研究與分析團(tuán)隊(duì)的負(fù)責(zé)人科斯汀·拉尤(Costin Raiu)表示,darkhotel.com有關(guān)的攻擊行為發(fā)生在微軟修補(bǔ)其漏洞之前,這表明darkhotel.com不僅僅是在重復(fù)利用同一個(gè)漏洞,因此,谷歌將被發(fā)現(xiàn)的5個(gè)零日漏洞都?xì)w為該黑客組織所有。
美國(guó)國(guó)家安全局黑客和攻擊安全會(huì)議的創(chuàng)始人 Dave Aitel對(duì)此表示,目前谷歌發(fā)現(xiàn)的大多數(shù)零日漏洞和朝鮮攻擊都存在與Internet Explorer中,黑客用了創(chuàng)造性的方式來(lái)使用這些漏洞,并在微軟的瀏覽器代碼中入侵受害者使用的軟件系統(tǒng)。
據(jù)悉,在微軟的一份Office文檔中發(fā)現(xiàn)了一個(gè)Internet Explorer漏洞,該漏洞僅僅是調(diào)用web瀏覽器代碼就啟動(dòng)了嵌入文檔中的在線視頻。此外,在另一個(gè)案例中,黑客修改并利用了IE沙盒中的一個(gè)漏洞,就繞過(guò)了FireFox沙盒的安全特性檢測(cè),可以將瀏覽器中的代碼與計(jì)算機(jī)中的其他部分隔離開(kāi)來(lái)。Aitel表示,這個(gè)組織的黑客能夠利用這些漏洞進(jìn)行工程設(shè)計(jì),使之適合他們自己的框架,這真的展現(xiàn)了他們操作上的高水平。同時(shí),Aitel指出,針對(duì)該組織的復(fù)雜程度應(yīng)該提醒那些在防御黑客資源方面被視為“二線”的國(guó)家,即除了俄羅斯、中國(guó)和美國(guó)以外的那些國(guó)家。由于部分國(guó)家和用戶低估了該組織帶來(lái)的風(fēng)險(xiǎn),才為這些組織提供了越來(lái)越多的入侵機(jī)會(huì)。