新分析從另一角度再次指證朝鮮是孟加拉央行8100萬(wàn)美元網(wǎng)絡(luò)劫案和索尼影業(yè)黑客事件背后主謀。

莫斯科威脅情報(bào)公司Group-IB“確認(rèn)”：對(duì)孟加拉央行和數(shù)家波蘭銀行發(fā)起攻擊的Lazarus網(wǎng)絡(luò)犯罪團(tuán)伙，與朝鮮有關(guān)。Group-IB分析師深入分析了該網(wǎng)絡(luò)罪犯的C2基礎(chǔ)設(shè)施，審查了其他威脅情報(bào)信息，最終得出這一結(jié)論。

西方情報(bào)機(jī)構(gòu)和私營(yíng)網(wǎng)絡(luò)安全公司，同樣將朝鮮放在這一系列網(wǎng)絡(luò)攻擊的頭號(hào)疑犯位置。Group-IB稱，其研究與之前的工作略有不同，不僅僅依靠惡意軟件分析或基于惡意軟件分析的歸因，而是更依賴可靠的基礎(chǔ)設(shè)施研究。Group-IB比其他安全機(jī)構(gòu)更堅(jiān)定指稱朝鮮就是背后主謀。

博客文章中，Group-IB寫道：

Group-IB的專家們深入調(diào)查了Lazarus組織的活動(dòng)，剖析了他們用以執(zhí)行攻擊的復(fù)雜僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施。除了繁瑣的3層架構(gòu)、加密信道、VPN服務(wù)和其他高級(jí)技術(shù)，研究人員還發(fā)現(xiàn)：該組織是從朝鮮普通江區(qū)(Potonggang)發(fā)起的攻擊?；蛟S是巧合吧，朝鮮最高軍事機(jī)構(gòu)“國(guó)防委員會(huì)”也坐落在普通江區(qū)。

據(jù)稱，Lazarus受朝鮮情報(bào)機(jī)構(gòu)偵察總局下屬的121局控制。

Lazarus(又名“黑暗首爾幫”)最開始進(jìn)入人們的視線，是因?yàn)橐幌盗械姆植际骄芙^服務(wù)(DDoS)攻擊和對(duì)全球政府、軍隊(duì)及航天機(jī)構(gòu)的黑客攻擊活動(dòng)。

“特洛伊行動(dòng)”是與該組織相關(guān)的最早的攻擊活動(dòng)，2009-2012年間持續(xù)，涉及對(duì)韓國(guó)政府目標(biāo)不太高明的DDoS攻擊。

2014年，索尼影業(yè)黑客事件讓Lazarus聲名鵲起。該事件中，索尼影業(yè)雇員及其家人的個(gè)人信息、公司內(nèi)部電子郵件、尚未發(fā)行的索尼電影拷貝及其他信息被盜。部分被盜數(shù)據(jù)隨后泄于網(wǎng)上。

壓力積聚

隨著朝鮮面臨的全球經(jīng)濟(jì)壓力增加，Lazarus轉(zhuǎn)戰(zhàn)跨國(guó)金融公司以攫取經(jīng)濟(jì)和情報(bào)利益。2016年，該組織試圖從孟加拉央行SWIFT系統(tǒng)盜取9500萬(wàn)美元。僅僅因?yàn)橹Ц墩?qǐng)求中的一個(gè)拼寫錯(cuò)誤，暴露了欺詐企圖，讓非法得利從預(yù)計(jì)的9500萬(wàn)美元稍微縮水，但仍達(dá)到了可觀的8100萬(wàn)美元。

德米特里·沃爾科夫，Group-IB共同創(chuàng)始人兼該公司威脅情報(bào)部門總監(jiān)，評(píng)論道：

我們的研究證明，朝鮮Lazarus組織采取了非凡的預(yù)警措施，將攻擊切分稱多個(gè)階段，手動(dòng)執(zhí)行所有的模塊。這樣一來，即便攻擊被檢測(cè)到，安全研究人員也需要花費(fèi)大量時(shí)間和精力來調(diào)查。為隱藏惡意活動(dòng)，這些黑客還采用了3層C2基礎(chǔ)設(shè)施，并試圖偽裝成俄羅斯人。

通過對(duì)被黑網(wǎng)絡(luò)的分析，Group-IB識(shí)別出美國(guó)、加拿大、英國(guó)、印度、保加利亞、波蘭和土耳其各大學(xué)的IP地址;日本和中國(guó)的制藥公司;多個(gè)國(guó)家的政府子網(wǎng)，都被Lazarus組織利用來進(jìn)行攻擊了。

Lazarus組織的金融機(jī)構(gòu)攻擊方法論，他們所用的惡意軟件，還有他們的主要目標(biāo)等更多信息，可參見Group-IB的博客文章(http://blog.group-ib.com/lazarus)。