HOPLIGHT:朝鲜成为黑客政权的又一次尝试

已发表: 2019-04-15

自朝鲜领导人金正恩透露其制造核武器的计划以来,朝鲜(正式名称为朝鲜民主主义人民共和国)和美国之间的政治紧张局势处于历史最高水平,似乎是为了消灭他的“敌人”。 最近,朝鲜知道它不能仅仅在军事实力和经济上超越美国,它已经转向网络劫持和网络攻击以使美国变得脆弱,并经常试图侵入政府文件和信息。 袭击者自称是私人组织,与朝鲜政府没有任何关系,对美国私人组织和政府机构进行了多次尝试。 如果美国官员不屈服于他们的要求,他们甚至不遗余力地公开威胁要发动恐怖袭击和屠杀。 朝鲜明显由国家资助的网络攻击再次以一种名为 HOPLIGHT 的新恶意软件针对美国政府机构。 HOPLIGHT能做什么,这之后朝鲜又是什么?

必读:网络安全的基石

朝鲜对美国的网络攻击企图

朝鲜对美国的网络攻击企图
图片来源:Bleeping Computer

HOPLIGHT 并不是朝鲜网络攻击者第一次针对美国实体或公司。 事实上,这已经持续了将近五年。 尽管朝鲜政权继续否认掌握有关这些袭击的任何信息,但众所周知,该政权一直在为这些袭击提供支持。

朝鲜网络攻击者
图片来源:重新编码

第一次成为头条新闻的重大攻击是 Sony Pictures Hack,其中攻击者侵入了美国电影制片厂 Sony Pictures 的服务器和网络。 攻击的目标是工作室负责人的个人电子邮件、数据文件、即将上映的电影的脚本以及一些正在处理的合同协议的细节。 他们的要求是阻止他们的电影《采访》上映,这是对朝鲜领导人金正恩的嘲弄。 电影放映中恐怖袭击的待遇迫使制片厂屈服于要求。 美国政府随后开始了一系列调查。

美国官员将袭击追溯到朝鲜
图片来源:ZDNet

2017 年,一个名为 The Shadow Brokers 的黑客组织利用 Microsoft Windows 漏洞进行全球网络攻击,劫持企业服务器和帐户。 这种称为勒索软件的拒绝服务攻击侵犯了全球超过 200,000 台计算机,攻击者要求以加密货币支付赎金以撤销对这些计算机的封锁。 就在那时,美国政府在他们正在进行的调查中提高了赌注,并开始在国际上进行挖掘。 到那时,美国官员将袭击追踪到朝鲜并证实了官方指控,它已经遭受了更多对其公用事业服务和电网的劫持攻击。

那么,谁是这些攻击的幕后黑手

谁是朝鲜袭击的幕后黑手
图片来源:Vox

美国政府、联邦调查局 (FBI) 和美国国土安全部 (DHS) 表示,这些攻击得到了韩国情报组织侦察总局的支持,并由代号为拉撒路集团 (Lazarus Group) 的 121 局策划并由更多的名字。 据说 121 局是一个由网络安全专家和训练有素的黑客组成的专家团队,他们全权负责对朝鲜的“敌对”国家进行此类破坏行动。 调查特别提到了朴振赫,据称他是 121 局的成员,他一直是这些袭击的主要负责人。 与此同时,朝鲜政权拒绝存在任何此类组织,并没有就这些袭击发表官方声明。

HOPLIGHT:朝鲜恶意软件攻击的最新进展

HOPLIGHT 朝鲜恶意软件攻击
图片来源:GB Hackers

朝鲜网络攻击组织现已发布了一种名为 HOPLIGHT 的新恶意软件,该恶意软件再次针对美国政府机构获取信息和数据。 尽管尚未公布任何针对私人或公共组织的 HOPLIGHT 攻击的官方报道,但美国计算机应急准备小组 (CERT) 已检测到该恶意软件并将其追溯到朝鲜。 FBI 和 DHS 发布的信息表明,这种新的恶意软件充当木马,可以读取、更改和移动系统中的重要文件。 该恶意软件还能够将病毒代码注入正在运行的网络进程并终止或停止它们,这可能会中断代理工作。 此外,该恶意软件能够更改注册表文件,这可能会妨碍存储在公共机构网络中的数据。

恶意软件被美国追溯到朝鲜
图片来源:Cyware

CERT 发布了九种不同类型文件的详细信息,其中大部分是代理应用程序,用于将 HOPLIGHT 注入系统和网络。 代理携带伪造的 SSL 证书并使用命令服务器执行违规操作。

HOPLIGHT是城里的新事物

自 Wannacry Ransomware 攻击以来,CERT 一直在积极发布有关恶意网络攻击和可能的恶意软件检测的报告,以警告机构和公共组织。 并且这些报告之前都没有解决过 HOPLIGHT 之类的问题,也没有包含 HOPLIGHT 的任何地址。 显然,HOPLIGHT 以前从未使用过,它是 Bureau 121 恶意软件列表中最新的恶意软件。

为什么朝鲜继续对美国机构进行网络攻击?

针对美国机构的网络攻击
图片来源:PYMNTS

朝鲜是一个小独裁政权,位于遥远的东方,没有能力占领像美国这样的至高无上的国家。 至少在军事前线没有。 由于朝鲜领导人金正恩对世界和平与安全的恶意意图,该国被美国海军包围在海上,并不断被世界媒体贬低。 此外,该国薄弱的教育和经济体系使国家身无分文,因此,这些袭击背后的动机也是经济利益。 当然,没有一个国家可以在前线进行间谍活动,而网络攻击者是无法检测到的,或者在执法机构无法控制的范围内是不可能被逮捕的。 因此,网络攻击和网络安全漏洞仍然是朝鲜积极参与信息采购和情报的最可行选择,这是所有其他国家从事间谍活动的做法。

但是,朝鲜如何能够实施这些违规行为?

这是一个非常可行的问题,因为尽管朝鲜限制了大规模的网络存在,但它仍然能够执行具有高度影响力的攻击。 该国与外部世界有两个互联网连接,但它仍然成功地成为了一个致命且非常强大的网络攻击者。

朝鲜实施这些违规行为
图片来源:UPI

这是因为该政权一直在广泛培训年轻人进行网络安全和黑客攻击。 根据国土安全部和联邦调查局的调查报告,朝鲜的小伙子们接受了对他们的数学和对数技能的评估,并在国家资助的项目下接受了培训,成为黑客方面的专家。 这些训练有素的黑客中有许多居住在异国他乡,以卧底身份向朝鲜提供地面情报。

问题有多大?

朝鲜最新的HOPLIGHT干扰
图片来源:商业内幕

虽然已经发现朝鲜最新的 HOPLIGHT 干扰,但它的威胁不能这么早就被忽视。 自从过去两年以来,朝鲜一直没有对网络安全攻击保持沉默,甚至以虚假会谈和对潜在核武器发展保持沉默为幌子参与了任何这些攻击。 事实上,即使在美国总统特朗普和金正恩正式会晤后,袭击仍在继续。 所以,这个问题相当大,而且似乎不会很快消失。

朝鲜之前已经尝试过直接砸抢攻击,但HOPLIGHT是朝鲜的一种新型间谍活动,尚未正式针对任何组织。

必读:政府和军事数据是否可以免受网络攻击?

朝鲜是否会通过 HOPLIGHT 进一步行动,或者鉴于其新恶意软件的早期披露会撤退,目前尚无法确定答案。 然而,由于国家支持的组织不断的违规和黑客攻击,意味着朝鲜的黑客专业知识需要得到处理。