HOPLIGHT:朝鮮成為黑客政權的又一次嘗試

已發表: 2019-04-15

自朝鮮領導人金正恩透露其製造核武器的計劃以來,朝鮮(正式名稱為朝鮮民主主義人民共和國)和美國之間的政治緊張局勢處於歷史最高水平,似乎是為了消滅他的“敵人”。 最近,朝鮮知道它不能僅僅在軍事實力和經濟上超越美國,它已經轉向網絡劫持和網絡攻擊以使美國變得脆弱,並經常試圖侵入政府文件和信息。 襲擊者自稱是私人組織,與朝鮮政府沒有任何關係,對美國私人組織和政府機構進行了多次嘗試。 如果美國官員不屈服於他們的要求,他們甚至不遺餘力地公開威脅要發動恐怖襲擊和屠殺。 朝鮮明顯由國家資助的網絡攻擊再次以一種名為 HOPLIGHT 的新惡意軟件針對美國政府機構。 HOPLIGHT能做什麼,這之後朝鮮又是什麼?

必讀:網絡安全的基石

朝鮮對美國的網絡攻擊企圖

朝鮮對美國的網絡攻擊企圖
圖片來源:Bleeping Computer

HOPLIGHT 並不是朝鮮網絡攻擊者第一次針對美國實體或公司。 事實上,這已經持續了將近五年。 儘管朝鮮政權繼續否認掌握有關這些襲擊的任何信息,但眾所周知,該政權一直在為這些襲擊提供支持。

朝鮮網絡攻擊者
圖片來源:重新編碼

第一次成為頭條新聞的重大攻擊是 Sony Pictures Hack,其中攻擊者侵入了美國電影製片廠 Sony Pictures 的服務器和網絡。 攻擊的目標是工作室負責人的個人電子郵件、數據文件、即將上映的電影的腳本以及一些正在處理的合同協議的細節。 他們的要求是阻止他們的電影《採訪》上映,這是對朝鮮領導人金正恩的嘲弄。 電影放映中恐怖襲擊的待遇迫使製片廠屈服於要求。 美國政府隨後開始了一系列調查。

美國官員將襲擊追溯到朝鮮
圖片來源:ZDNet

2017 年,一個名為 The Shadow Brokers 的黑客組織利用 Microsoft Windows 漏洞進行全球網絡攻擊,劫持企業服務器和帳戶。 這種稱為勒索軟件的拒絕服務攻擊侵犯了全球超過 200,000 台計算機,攻擊者要求以加密貨幣支付贖金以撤銷對這些計算機的封鎖。 就在那時,美國政府在他們正在進行的調查中提高了賭注,並開始在國際上進行挖掘。 到那時,美國官員將襲擊追踪到朝鮮並證實了官方指控,它已經遭受了更多對其公用事業服務和電網的劫持攻擊。

那麼,誰是這些攻擊的幕後黑手

誰是朝鮮襲擊的幕後黑手
圖片來源:Vox

美國政府、聯邦調查局 (FBI) 和美國國土安全部 (DHS) 表示,這些攻擊得到了韓國情報組織偵察總局的支持,並由代號為拉撒路集團 (Lazarus Group) 的 121 局策劃並由更多的名字。 據說 121 局是一個由網絡安全專家和訓練有素的黑客組成的專家團隊,他們全權負責對朝鮮的“敵對”國家進行此類破壞行動。 調查特別提到了樸振赫,據稱他是 121 局的成員,他一直是這些襲擊的主要負責人。 與此同時,朝鮮政權拒絕存在任何此類組織,並沒有就這些襲擊發表官方聲明。

HOPLIGHT:朝鮮惡意軟件攻擊的最新進展

HOPLIGHT 朝鮮惡意軟件攻擊
圖片來源:GB Hackers

朝鮮網絡攻擊組織現已發布了一種名為 HOPLIGHT 的新惡意軟件,該惡意軟件再次針對美國政府機構獲取信息和數據。 儘管尚未公佈任何針對私人或公共組織的 HOPLIGHT 攻擊的官方報導,但美國計算機應急準備小組 (CERT) 已檢測到該惡意軟件並將其追溯到朝鮮。 FBI 和 DHS 發布的信息表明,這種新的惡意軟件充當木馬,可以讀取、更改和移動系統中的重要文件。 該惡意軟件還能夠將病毒代碼注入正在運行的網絡進程並終止或停止它們,這可能會中斷代理工作。 此外,該惡意軟件能夠更改註冊表文件,這可能會妨礙存儲在公共機構網絡中的數據。

惡意軟件被美國追溯到朝鮮
圖片來源:Cyware

CERT 發布了九種不同類型文件的詳細信息,其中大部分是代理應用程序,用於將 HOPLIGHT 注入系統和網絡。 代理攜帶偽造的 SSL 證書並使用命令服務器執行違規操作。

HOPLIGHT是城裡的新事物

自 Wannacry Ransomware 攻擊以來,CERT 一直在積極發布有關惡意網絡攻擊和可能的惡意軟件檢測的報告,以警告機構和公共組織。 並且這些報告之前都沒有解決過 HOPLIGHT 之類的問題,也沒有包含 HOPLIGHT 的任何地址。 顯然,HOPLIGHT 以前從未使用過,它是 Bureau 121 惡意軟件列表中最新的惡意軟件。

為什麼朝鮮繼續對美國機構進行網絡攻擊?

針對美國機構的網絡攻擊
圖片來源:PYMNTS

朝鮮是一個小獨裁政權,位於遙遠的東方,沒有能力佔領像美國這樣的至高無上的國家。 至少在軍事前線沒有。 由於朝鮮領導人金正恩對世界和平與安全的惡意意圖,該國被美國海軍包圍在海上,並不斷被世界媒體貶低。 此外,該國薄弱的教育和經濟體系使國家身無分文,因此,這些襲擊背後的動機也是經濟利益。 當然,沒有一個國家可以在前線進行間諜活動,而網絡攻擊者是無法檢測到的,或者在執法機構無法控制的範圍內是不可能被逮捕的。 因此,網絡攻擊和網絡安全漏洞仍然是朝鮮積極參與信息採購和情報的最可行選擇,這是所有其他國家從事間諜活動的做法。

但是,朝鮮如何能夠實施這些違規行為?

這是一個非常可行的問題,因為儘管朝鮮限制了大規模的網絡存在,但它仍然能夠執行具有高度影響力的攻擊。 該國與外部世界有兩個互聯網連接,但它仍然成功地成為了一個致命且非常強大的網絡攻擊者。

朝鮮實施這些違規行為
圖片來源:UPI

這是因為該政權一直在廣泛培訓年輕人進行網絡安全和黑客攻擊。 根據國土安全部和聯邦調查局的調查報告,朝鮮的小伙子們接受了對他們的數學和對數技能的評估,並在國家資助的項目下接受了培訓,成為黑客方面的專家。 這些訓練有素的黑客中有許多居住在異國他鄉,以臥底身份向朝鮮提供地面情報。

問題有多大?

朝鮮最新的HOPLIGHT干擾
圖片來源:商業內幕

雖然已經發現朝鮮最新的 HOPLIGHT 干擾,但它的威脅不能這麼早就被忽視。 自從過去兩年以來,朝鮮一直沒有對網絡安全攻擊保持沉默,甚至以虛假會談和對潛在核武器發展保持沉默為幌子參與了任何這些攻擊。 事實上,即使在美國總統特朗普和金正恩正式會晤後,襲擊仍在繼續。 所以,這個問題相當大,而且似乎不會很快消失。

朝鮮之前已經嘗試過直接砸搶攻擊,但HOPLIGHT是朝鮮的一種新型間諜活動,尚未正式針對任何組織。

必讀:政府和軍事數據是否可以免受網絡攻擊?

朝鮮是否會通過 HOPLIGHT 進一步行動,或者鑑於其新惡意軟件的早期披露會撤退,目前尚無法確定答案。 然而,由於國家支持的組織不斷的違規和黑客攻擊,意味著朝鮮的黑客專業知識需要得到處理。