标签: 朝鲜

美国起诉朝鲜男子发起索尼网络攻击和 WannaCry 勒索软件攻击

据外媒报道,美国司法部日前对朝鲜一名人员发起诉讼,指控其涉嫌参与了2014年索尼影业的黑客攻击以及2017年具有毁灭性的WannaCry勒索软件攻击。早在2014年年底,美国就曾将索尼影业遭遇黑客攻击的事件归咎于朝鲜。据称,这次网络攻击则是对赛斯·罗根和詹姆斯·弗兰科拍摄的影片《刺杀金正恩》的回应。 美国检方称,被控男子Park Jin-hyok是代表朝鲜政府进行广泛、长时间阴谋行动的组织的一份子。据称,该名男子以及其他一些人通过一个幌子组织进入了索尼影业并了WannaCry 2.0勒索软件。该软件一经发布之后就在150个国家破坏了计算机系统。美国官员此前也曾将该网络攻击归咎于朝鲜。 据悉,Park被控合谋进行电脑欺诈和滥用以及合谋进行电信欺诈。美国财政部宣布,在起诉书公布之后他们已经对Park以及幌子公司实施了制裁。 这条消息可以说是在美国和朝鲜关系处于尴尬时刻发布的。在金正恩和特朗普举行了首次峰会之后,无核化谈判似乎陷入僵局。然而今日,在金正恩赞赏了特朗普之后,这位总统也在社交媒体平台上发文赞赏了这位朝鲜领导人–“我们会一起完成的!”   稿源:cnBeta,封面源自网络;

美政府发布警告 称朝鲜可能发起新一轮网络攻击

据美联社报道,随着朝鲜向纽约派出了一名高级顾问、为其可能的核峰会做准备,特朗普政府于星期二发布了一项关于朝鲜恶意网络活动的新警告。来自美国联邦调查局和国土安全部的技术警报中,重点描述了两款恶意软件,据说它们被用于攻击美国航空航天、金融、媒体等企业的基础设施。在持续的至少 9 年时间里,其涉及信息窃取和远程网络操控。 近年来,美国指责朝鲜方面发动了一系列的网络攻击,目前尚不清楚这一最新警告的发布时机有何意义。与此同时,美国总统特朗普正寻求与朝鲜领导人举行核谈判。 为给峰会做准备,曾任四星陆军上将和军事情报主管的金永哲(Kim Yong Chol),将在纽约与美国国务卿 Mike Pompeo 会面 —— 一名朝鲜高级官员访问美国,本就是一件极为罕见的事情。 2014 年的时候,索尼影视娱乐疑似因为讽刺朝方的《采访》一片,遭遇了一起严重的黑客入侵事件,而金永哲被高度怀疑参与了此事。 在美方最新公布的警报中,提到了一种名为 Joanap 的远程访问工具、以及一种名为 Brambul 的消息阻塞蠕虫。报道称,该恶意软件是朝方“隐形眼镜蛇”(Hidden Cobra)网络活动的一部分: FBI 对该组织用于维持利用其网络受害者的 IP 地址有很高的信心,至少从 2009 年开始,Hidden Cobra 可能就一直在使用 Jonap 和 Brambul 这两款恶意软件。 其在美国和全球有许多受害者,包括新闻媒体机构、航空航天、金融、以及关键基础设施等行业。 美国政府已经确认了超过 85 个被其攻陷的网络,这些地址和建议的补救措施被一起分发,官方敦促私营企业立即向国土安全部 NCCIC 或 FBI Cyber Watch 上报任何可疑的恶意软件活动。   稿源:cnBeta,封面源自网络;

与朝鲜有关的黑客使用谷歌Play商店中的恶意软件追踪脱北者

据外媒Techspot报道, 谷歌Play商店此前曾出现一些看似合法却包含恶意软件的的应用程序并不陌生,但McAfee的研究人员发现了一些与以前不同的内容:针对特定个人的三种恶意应用程序。该安全组织表示,一个与朝鲜有关的小组上传了这些应用程序,这些应用程序旨在渗透属于脱北者的Android设备。 虽然“朝鲜黑客”通常指臭名昭著Lazarus Group,但此次的攻击者是 Sun Team。该组织参加了名为RedDawn的活动,该广告活动在恶意软件加载应用程序被添加到谷歌Play商店之前,曾试图吸引“叛逃者”下载软件。 今年1月至3月间,这三款应用出现在谷歌Play商店中。其中一个称为 Food Ingredients Info的应用提供了有关食物成分的信息。另外两个应用——Fast AppLock 和Fast AppLockFree则是安全工具。这三款应用都能够窃取那些下载应用的用户的个人数据,这些数据可能被用来勒索,威胁或追踪受害者; 这些信息包括用户的照片、联系人、通话记录和短信等。 “感染设备后,恶意软件使用Dropbox和Yandex上传数据并发布命令,包括其他插件dex文件;这与早期的Sun Team攻击类似,”McAfee的Jaewon Min写道。“从这些云存储站点,我们发现了Sun Team用于我们1月份报告的恶意软件活动的相同测试Android设备的信息日志。日志具有类似的格式,并使用与其他Sun Team日志相同的缩略字段。此外,新恶意软件者的电子邮件地址与早先与Sun Team相关的电子邮件地址相同。” Sun Team试图让朝鲜叛逃者(其中2016年有超过30,000人)通过使用虚假的Facebook个人资料或通过该发送直接私人消息来下载应用程序。在韩国流行的聊天应用程序KakaoTalk也被用来发送链接到目标。 目前已被删除的应用程序在谷歌 Play商店中大约被下载了100次。据报道,Sun Team设置的两个虚假的Facebook个人资料仍然活跃。将攻击与朝鲜联系在一起的进一步证据包括在测试日志文件中找到的属于该国的IP地址,以及作者使用韩语“不在韩国语词汇中”的事实。   稿源:cnBeta,封面源自网络;

疑似与朝鲜相关的的黑客盗取了17个国家的数据

与朝鲜有关的黑客组织与 17 个国家的一系列网络攻击有关,远远超出了最初的想象。McAfee Advanced Threat Research 发布的一份新报告发现,一项名为 Operation GhostSecret 的重大黑客活动旨在窃取包括关键基础设施,娱乐,金融,医疗保健和电信等广泛行业的敏感数据。 攻击者使用与朝鲜赞助的网络部队 Hidden Cobra(也称为 Lazarus)相关的工具和恶意软件程序来执行高度复杂的操作。GhostSecret 的行动被认为是在 3 月初发生在几个土耳其金融机构和政府组织的大规模网络攻击。据 McAfee 介绍,网络攻击随后开始针对17个国家的行业,并且仍然活跃。 稿源:freebuf,封面源自网络;

最新水坑攻击样本仍然利用朝鲜黑客的 Flash 漏洞

Morphisec 警告称,有人利用香港电信公司网站进行攻击,攻击开始使用最近的 Flash 漏洞,该漏洞自 2017 年 11 月中旬以来一直被朝鲜利用。 韩国互联网与安全局(KISA)发布警告提到 CVE-2018-4878 漏洞,并表示漏洞被朝鲜黑客利用后,Adobe 在一周内修补了漏洞。 Morphisec 指出,最近观察到的事件是教科书式的水坑攻击。攻击者在受害者可能访问的网站上植入恶意软件。 由于新的攻击手法没有生成文件,也没有在硬盘中留下痕迹,因此具备更强的隐蔽性。另外它还在没有过滤的端口使用了定制的协议 安全研究人员指出:“一般来说,这种先进的水坑攻击本质上是高度针对性的,应该有一个非常先进的组织在进行支持。” 隐蔽性增强 这次攻击中使用的 Flash 漏洞与先前 CVE-2018-4878 漏洞分析中详述的漏洞非常相似,尽管他们使用了不同的 shellcode。 攻击中的 shellcode 执行 rundll32.exe 并用恶意代码覆盖其内存。这段恶意代码的目的是将其他代码直接下载到 rundll32 进程的内存中。 安全研究人员还发现,命令和控制(C&C)服务器通过 443 端口使用自定义协议与受害者进行通信。 下载到 rundll32 内存的附加代码包括 Metasploit Meterpreter 和 Mimikatz 模块。大多数模块在 2 月 15 日编译,攻击在不到一周的时间里开始。 尽管有这些先进的隐蔽功能,但这次攻击使用了基本的  Metasploit 框架组件,这些组件在攻击之前编译,并且没有混淆,这对攻击的溯源造成了困难。 Morphisec 表示,这次攻击针对几周前的 CVE-2018-4878,而攻击又来自具有国家背景的组织,这些都造成了某种似曾相识的感觉。 稿源:freebuf,封面源自网络;

美国官员:俄罗斯间谍黑客入侵奥运并试图栽赃朝鲜

据美国情报称,俄罗斯军方黑客在韩国 2018 年冬季奥运会上袭击了当局使用的数百台电脑。不愿透露姓名的美国官员讨论敏感问题时说,他们这样做是为了让它看起来好像侵入是由朝鲜进行的,这就是所谓的“伪旗”操作。 平昌官员承认,在 2 月 9 日的开幕式上,奥运会受到网络攻击,但拒绝确认俄罗斯是否有责任。那天晚上,互联网,广播系统和奥运网站受到干扰。许多已经付款的观众无法打印他们的门票,导致空座位。 分析人士猜测,这场混乱是对国际奥委会报复,因为违禁药物国际奥委会禁止俄罗斯参加冬季奥运会,虽然有些运动员被允许以“来自俄罗斯的奥运会运动员”的名义参赛,但他们无法在他们的制服上展示俄罗斯国旗,如果他们赢得了奖牌,现场也不会奏响俄罗斯国歌。 西方情报机构称,除了攻击冬奥会电脑之外,俄罗斯黑客上个月还在韩国攻击了路由器,并在奥运开始的当天部署了新的恶意软件。官员说,这种访问可能会导致情报收集或网络攻击专家表示,路由器恶意软件的开发成本非常高昂,俄罗斯可能只在有助于实现高价值目标的地区使用它。 稿源:cnBeta,封面源自网络

美国未来可能用核武器对付网络攻击

美国国防部 2 日发布了酝酿已久的新版《核态势评估》报告,对俄罗斯的核力量发展予以高度关注,并将朝鲜、伊朗和中国列为潜在威胁。同时,该报告暗示美国可能会降低核武器的使用门槛,甚至可能使用核武器来应对网络攻击等非核武器攻击。中国专家表示,目前美国的核技术可以让低当量核武器对环境的威胁降到很低,甚至对于一些小国来说,可能在毫无察觉的情况下遭受核打击。 对此,中俄有必要提出有效应对方案,这既是维护自身安全的要求,也是维护世界和平的需要。 低当量核武器到底有多低 据美国《防务新闻》网站 3 日报道,《核态势评估》报告 ( NPR ) 建议为潜射弹道导弹增加一种低当量核弹头,并增加一种潜艇发射的具有核弹头的巡航导弹。“ 美国可能会获得两个新的核能力。” 报道称,用于潜射弹道导弹的低当量弹头,NPR 要求采取 “ 近期 ” 解决方案。根据这个解决方案,国家核安全管理局将改进少量现有的潜射弹道导弹弹头,将其变成低当量武器。该机构已经在为 W76 弹头进行延寿工作,这个过程中将改装这类武器。这有助于降低成本,节省时间。文章称,美方大概只会将几十个核弹头改为低当量核弹头。 该报告的主要撰写者之一、负责核与导弹防御政策的助理国防部长帮办罗伯特-苏弗表示,“ 低当量 ” 意味着比在广岛引爆的核武器当量还要小,据估计后者导致 6 万至 8 万人 “ 被汽化 ”。苏弗强调他们所设想的数量是相当低的。“ 这不是一个重要的战斗能力……”。 第二种新能力是潜艇发射、装载核弹头的巡航导弹。报道称,NPR 要求一种新的海上发射巡航导弹,其实这是海军在几年前曾经拥有的装备,这种武器比弹道导弹效费比更高。 NPR 要求设计利用现有能力降低成本并缩短时间。据称,美空军正在设计新型核巡航导弹,也就是 “ 远程防区外武器 ”( LRSO )。而核安全管理局已经在为该武器研制弹头,这将是 W80 弹头的改进版。苏弗说,美国可以将新弹头放入新的海上发射巡航导弹中,或根据 LRSO 的弹体研制可以在潜艇或水面舰艇发射的新型导弹。 用核武回应网络攻击? 除了发展低当量核武器以外,美国还可能用核武器来回应大规模的网络攻击。美国第五空间网站报道称,网络攻击可能会刺激美总统发动核攻击。报道称,该报告的草稿被媒体披露之后,美国安全界的一个主要争论点变成新的术语,似乎 “ 打开了对美国本土的大型网络攻击的核应对选择 ”。 例如,在被披露草案第 16 页,“ 灵活的能力 ”一章中表示:总统将有一系列、有限和逐步升级的选择,以可靠地阻止俄罗斯核战略攻击或非核战略攻击,这些攻击可能包括对美国太空和网络空间的核指挥、控制与通信系统的攻击。但在后来公布的文件中,这一点已经被取消,取而代之的是有关核力量需要灵活性的一般性陈述。 文章称,在副标题为“对多种不确定性的对冲”那部分,作者表示美国必须 “ 对冲潜在的快速增长的或发生的核与非核战略威胁,包括化学、生物、网络和大规模的常规入侵。” 这一点在最终版本第 38 页中完整展现出来。 该报告的主要撰写者、联合参谋部负责战略稳定的副主任格雷格-韦弗和苏弗认为,文件中的术语并没有改变奥巴马版 NPR 的立场。但在回答针对美国并令美损失严重的网络攻击是否可能引发核反击的提问时,苏弗说,“ 是的 ” 。“ 我们正在关注一些战略袭击,造成灾难性影响的非核战略袭击。如果袭击事件能够导致一个城市成千上万的美国人伤亡,那么对手就需要知道,这可能引发核反击&……” 中国应该如何应对 对于使用低当量弹头的想法,美国专家表达了担忧。《防务新闻》称,麻省理工学院政治学副教授维宾-纳朗表示,将战略与战术核弹头混合在一枚弹道导弹潜艇上的想法,导致难以辨别。“ 简而言之,敌人怎么知道这个弹道导弹是以单一的低当量核武器还是由数个几十万吨战略核弹头组成的呢?” 他说。“ 对手将无法检测或区分。” 纳朗补充说:“ 即使我们在一枚潜射弹道导弹上只使用一个单一的低当量弹头,对手也不可能确认这一点,而且肯定假设我们已经升级到战略层面。特别是如果对手担心自身部队的生存能力,那么唯一合理的举动就是发射他们所拥有的所有核弹。” 一名匿名中国军事专家对《环球时报》记者表示,新版报告降低了美国使用核武器的门槛。而且美国从技术上也有相关储备。新一代核武器当量可以很低,对环境影响也在可控范围之内。甚至对于一些技术力量不足的小国来说,遭遇了核袭击可能还无法在第一时间做出判断。这都将提高美国使用核武器的可能性,增大核战争风险。该报告明确将中国作为潜在威胁,中国也不能无动于衷。首先,进一步提高预警能力,完善导弹预警卫星、预警雷达网建设,快速发现、识别针对我国的核袭击。其次,提高核武库的总体规模。中国始终把自身核力量维持在国家安全需要的最低水平,原本核力量总体规模就比较小,如果对方实施先发制人打击,目前的核武库规模有必要进一步评估。第三,进一步改进核投掷手段,提高投掷距离、突防能力和打击精度。第四,也要研究低当量核武器等相关技术,一旦有事能够做到对等还击。这既是出于维护自身战略安全的考虑,也是维护世界和平的需要。 稿源:cnBeta、环球时报,封面源自网络;

朝鲜被发现利用恶意程序挖掘门罗币

安全公司 AlienVault 的研究人员发现了挖掘门罗币的恶意软件,并追踪到挖掘出来的资金流入了一家朝鲜大学。这显示出,随着制裁迫使朝鲜寻找替代收入来源,朝鲜黑客盯上了数字货币。 挖掘出的资金会自动流入一个域名属于金日成大学的服务器,黑客想取得这些资金要键入三个字母的密码:KJU,这可能是朝鲜领导人金正恩 ( Kim Jong Un ) 名字的首字母。恶意程序的代码写的并不高明,意味着这更可能是一个在校生干的,而不是朝鲜精英黑客组织 “ Lazarus ” 所为。 网络安全研究人员说,近几个月来,平壤黑客专门针对门罗币,他们在受感染的银行和私人公司服务器上猎寻该加密货币。 稿源:cnBeta、solidot,封面源自网络;

真相扑朔迷离?Lurk 黑客自称 WannaCry 实为俄罗斯开发

据外媒 12 月 30 日报道,Lurk 网络犯罪团伙的黑客 Konstantin Kozlovsky 承认在 FSB( 俄罗斯联邦安全局信息安全中心) 的要求下开发了 WannaCry 勒索软件和 DNC 黑客软件,并为其破解了美国民主党的服务器以及希拉里·克林顿的电子邮件服务器。根据 Kozlovsky 的供词显示, 2014 年雅虎服务器的入侵事件可能也与 FSB 有关。 Lurk 网络犯罪团伙因开发、维护和租用钓鱼漏洞开发工具包闻名。黑客团伙利用 Lurk 银行木马从俄罗斯金融机构窃取了约 4500 万美元资金,其成员于 2016 年被俄罗斯警方逮捕。 据俄罗斯网站 crimerussia.com 报道,黑客 Kozlovsky 称 Lurk 团伙开发的 WannaCry 勒索软件主要针对企业网络,能够通过感染大量的机器得到迅速传播,最终达到“一键”瘫痪目标网络能力的目的。黑客团伙还甚至计划利用 WannaCry 破解俄罗斯第三大钢铁生产企业——Novolipetsk钢铁公司网络,并试图干扰高炉运作。 知情人士透露,美国之前认为朝鲜是今年 5 月利用 WannaCry 进行网络攻击的幕后黑手,不过目前 Kozlovsky 表示 WannaCry 是为 FSB 开发的,并指认这些攻击行动是由 FSB 的 Dmitry Dokuchaev (被指控在 2014 年入侵雅虎服务器的两名俄罗斯情报官员之一)协调完成的。但此番言论也遭到了 Dmitry Dokuchaev  的否认。 真相依旧扑朔迷离,媒体对此事件感到奇怪的一点在于——Kozlovsky 目前还被俄罗斯当局监禁,却反而指控 FSB 的其他黑客? 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

朝鲜否认与网络攻击事件有关 美国的指责是政治挑衅

朝鲜外务省 21 日表示,朝鲜与任何网络攻击事件都没有关联,美国日前的有关指责毫无根据,是对朝鲜的政治挑衅。据朝中社报道,朝鲜外务省发言人当天表示,最近美国在没有任何证据的情况下,把在国际上引发轩然大波的网络攻击事件与朝鲜挂钩,这是企图抹黑朝鲜形象、“ 妖魔化 ” 朝鲜、引发国际社会与朝对峙的严重政治挑衅。 美国此举意在用网络攻击事件给朝鲜打上犯罪国家的烙印,营造对朝制裁施压氛围。 今年 5 月,全球 150 多个国家和地区的网络遭到名为 “ 想哭 ” 的勒索病毒软件攻击。电脑受感染后,文件会被加密锁定,向黑客支付赎金后才能解密恢复。美国近日指责朝鲜与这一事件有关。 相关文章: 美方宣称朝鲜为 WannaCry 幕后黑手 白宫明日发布声明 成功抵御朝鲜网络攻击 微软 Facebook 获美国政府肯定 韩国数字货币交易所破产有内情?“ 黑手 ” 可能是朝鲜 稿源:cnBeta、大洋网-广州日报,封面源自网络;编辑:榆榆