2017 年 6 月 13 日，美国计算机安全应急响应团队（ US-CERT ）发布一份名为 “ Hidden Cobra （ 隐身眼镜蛇 ）” 的联合技术预警（TA17-164A），旨在声明朝鲜黑客组织 Lazarus 针对全球基础设施开展 DDoS 僵尸网络攻击活动。 该报告结合了美国国土安全部（ DHS ）与联邦调查局（ FBI ）联合调查的结果，其中还包括一份与恶意软件 DeltaCharlie 感染系统相关的 IP 地址列表。DeltaCharlie 最初被 Novetta 联盟发现并宣称是黑客组织 Lazarus 武器库的 DDoS 工具。此外，该报告还称 Lazarus 为 Hidden Cobra，并将该组织活动与朝鲜政府关联。 目前，尚不清楚该报告列出的 IP 地址到底是命令与控制基础设施的一部分，还是 DeltaCharlie 反射器/放大器设备，亦或二者兼有。为了解所列 IP 地址是否与 DDoS 攻击存有直接关系，研究人员将其与 Arbor ATLAS 基础设施所观察到的攻击信息相互关联。Arbor ATLAS 收集来自近 400 家全球分布式服务提供商的匿名 DDoS 攻击数据，旨在执行 Arbor 智能 DDoS 解决方案（ IDMS ）。以下数据来自 Arbor ATLAS 基础设施 01MAR17 与 13JUN17 之间监控的 DDoS 攻击数据： 值得注意的是，ATLAS 检测数据包括约 1/3 互联网流量，因此某些攻击活动可能无法在数据记录中体现。此外，与 ATLAS 共享的多数攻击数据采用匿名形式，以便隐藏信息源或目标 IP 地址。所以，使用 TA17-164A 提供 IP 地址主机实际占比可能高于 ATLAS 观察到的 3.8％。 众所周知，僵尸网络 DeltaCharlie 支持的 DDoS 攻击方法主要有 DNS 反射/放大、ntp 反射/放大攻击与 chargen 反射/放大攻击，即可以使用 Arbor TMS 与 Arbor APS 等智能 DDoS 缓解系统（IDMS）。此外，考虑到 DeltaCharlie 不支持 LDAP 反射/放大攻击，即不可使用 Arbor TMS 或 Arbor APS 等 IDMS 缓解操作。 令人困惑的是，如果该报告中的 IP 地址包括启动反射/放大攻击的机器设备，那么受害者将永远不会看到那些 IP 地址，其只会观察到被机器设备滥用的开放式反射器产生的攻击流量。这就增加了一种可能性，即 TA17-164A 仅列出了那些被 DeltaCharlie 滥用的 “ 无辜 ” 受害者，因为 DeltaCharlie 并不支持 LDAP 反射/放大。 TA17-164A 报告显示了近期受攻击活动影响的 24 个 IP 地址。虽然这些 IP 地址主要集中在俄罗斯伏尔加格勒，但 ATLAS 观察到其中被用来发动 DDoS 攻击的 IP 地址最大集中于沙特阿拉伯，其次是阿联酋。此外，美国、英国、澳大利亚、法国、新加坡等国也纷纷受到影响。下图描述了 DDoS 每日攻击数量，即 TA17-164A 警报中至少有一个 IP 地址被视为参与攻击的源地址： 鉴于 DDoS 攻击活动常与地缘政治活动有关，研究人员注意到 4 月 5 日攻击活动就发生在朝鲜向日本海发射导弹的第二天。但二者之间是否存在关联也仅限于猜测。目前，由于研究人员尚未确定 IP 地址来源，因此他们难以采取行动。倘若盲目对其安全系统进行操作，可能引发更多危害。 原作者：Kirk Soluk，译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

上个月 WannaCry 勒索软件攻击事件的真正幕后黑手至今仍然未知，但是多数安全机构认为是朝鲜黑客组织 Lazarus Group 所为。 WannaCry 恶意勒索软件影响了全球 150 多个国家/地区的 30 万多台电脑，但英国国家卫生服务机构 ( NHS ) 却是最早受到影响的组织之一。 据外媒报道，英国情报机构 GCHQ 旗下的国家网络安全中心 ( National Cyber Security Centre,简称 NCSC ) 的研究人员近日得出了一个和赛门铁克、卡巴斯基及韩国网络安全公司 Hauri Labs 等安全机构一样的结论：基于 WannaCry 代码的相似之处和黑客创造的工具， Lazarus Group 应该为此次事件负责。 Lazarus Group 被认为是 2014 年索尼影业入侵事件及去年孟加拉国央行盗窃案等事件的幕后黑手。 朝鲜方面认为所谓的联系 “ 非常荒谬 ”，但一些研究人员表示，几乎没有证据指向其他嫌疑犯。 稿源：cnBeta，封面源自网络

据外媒 6 月 15 日报道，美国国家安全局 （ NSA ）已经将朝鲜政府与 WannaCry 电脑蠕虫病毒联系起来。上月，150 个国家超过 30 万人受到这款病毒的恶意攻击。 据知情人士透露，评估报告于上周发表，但尚未公之于众。安全专家对病毒所采用的策略、技术进行了分析，将目标指向朝鲜间谍机构——侦察总局（The Reconnaissance General Bureau）。评估指出， WannaCry 有两个版本，其 “ 网络攻击参与者 ” 涉嫌得到侦察总局赞助。这些蠕虫是围绕 NSA 黑客工具而开发出来的。去年，后者被一个自称影子经纪人的匿名组织获取并在网上发布。 WannaCry 是第一款勒索式计算机病毒，对受害者计算机上的数据进行加密，收到赎金后才能解锁。据悉，WannaCry 显然试图为某一团体募集资金，但分析师表示，这种企图存在缺陷。分析人士称，尽管黑客们筹集了价值 14 万美元的比特币，但到目前为止，他们还没有将其兑换成现金。这很可能是因为操作失误使得交易极易遭到执法机关的跟踪。 虽然这份评估报告不是最终结论，但主要证据都指向朝鲜，其中包括侦察总局长期在中国使用的互联网协议地址，以及近期与其他西方情报机构相一致的评估内容。报告指出，WannaCry 背后的黑客也被称为 “ 拉撒路 ” （the Lazarus Group）。此外，其中一家情报机构报告说，今年春天曾在一家非西方银行发现过 WannaCry 勒索病毒的原型。这位人士指出，该数据点成为朝鲜评估报告的 “ 基础 ”。 种种联系表明，尽管奥巴马和特朗普政府都在努力阻止朝鲜的挑衅，但这一秘密政权似乎没有放弃在全球发动一场最广泛的网络攻击。目前，美国国家安全局拒绝置评。 稿源：，稿件以及封面源自网络

据外媒报道，当地时间周二，美国政府发布了一份罕见的警告声明。该份声明对朝鲜政府自 2009 年开始发起的一系列网络攻击提出指责并警告称未来可能会出现更多的网络攻击事件。美国国土安全局 (DHS) 与联邦调查局 (FBI) 联合发布了这份警告声明。 这两个机构将朝鲜政府的网络攻击者称作“隐藏眼镜蛇 (Hidden Cobra) ”，他们有针对性地对媒体、航空、金融行业以及位于美国乃至全球的重要基础设施发起过网络攻击。 美国政府对朝鲜网络攻击可疑行动分析公布的最新细节正值两国紧张关系因后者的数次导弹测试而不断加剧之际。这份声明警告称，朝鲜未来将会继续依赖网络行动以推进其军事与战略目标。对此，朝鲜持否认态度。然而这份警告声明并未指明“隐藏眼镜蛇”受害者的具体身份，但是遭到攻击的受害者要么数据遭窃要么遭到损害。据披露，该组织的攻击手段包括了DoS攻击、键盘监听、远程网络连接工具以及多种恶意软件。 FireEye 公司的网络情报分析师 John Hultquist 指出，他们公司对来自朝鲜的网络攻击破坏力的不断增强表示担忧。Hultquist 表示，攻击者看起来曾在正式发起网络攻击之前对韩国金融、能源、运输公司进行过侦查工作，而这带来的后果将会非常具有破坏力。 此外，声明指出，“隐藏眼镜蛇”通常攻击的对象都是不再有来自微软官方补丁的操作系统或是利用 Adobe Systems Inc 的 Flash 软件漏洞展开攻击。对此，报告敦促各组织机构将 Adobe Flash 和微软 Sliverlight 升级到最新版或是卸载掉这些应用程序。而就在同日，朝鲜方面释放了已经被关押在平壤有 17 个月的美国大学生 Otto Warmbier。获悉，Warmbier 现处于昏迷状态，急需医疗救护。 稿源：cnBeta.COM，封面源自网络

外媒 31 日报道，莫斯科威胁情报公司 Group-IB 近期发表了一份报告，揭示黑客组织 Lazarus 与朝鲜“秘密关系”的最新证据。 Lazarus（音译 “ 拉撒路 ”）堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态，据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示，黑客组织 Lazarus 与 2014 年索尼影业 Wiper 攻击事件及 2016 年孟加拉国银行网络攻击事件有关。 黑客组织 Lazarus 攻击活动于 2014 年至 2015 年激增，其组织成员多数采用自定义恶意软件展开网络攻击活动。Group-IB 安全专家表示，该组织针对全球银行 SWIFT 系统的攻击活动留下了众多线索。 研究人员目前已检测并彻底分析了 Lazarus 如何使用复杂僵尸网络基础设施访问目标银行系统的相关细节。此外，他们还发现该黑客组织通过 SSL 发送加密数据、利用合法 VPN 隐匿真实身份。研究人员表示，自 Operation Blockbuster 报道过一份关于 Lazarus 组织成员的大量信息后，该黑客组织当即改变了攻击战略。 Lazarus 长期使用的两个 C＆C 服务器地址之一 —— 210.52.109.22 属中国网通 IP 段，但据调查显示 IP 210.52.109.0/24 范围早已被分配给了朝鲜。而另一 IP 地址 175.45.178.222 指向朝鲜互联网服务提供商，它被分配给了朝鲜 Potonggang 区域，“巧合”的是朝鲜最高军事机构也在这里。 此外多项证据也显示，黑客组织 Lazarus 正将其攻击活动伪装成俄罗斯黑客所为，即伪造恶意软件中的标志代码欺骗调查人员，以嫁祸俄罗斯黑客。 更多细节分析可阅读：Group-IB 报告《 Lazarus 的兴起 ：构架、技术与归属》 原作者：Pierluigi Paganini，译者：青楚，译审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 26 日报道，威胁情报公司 Flashpoint 针对数十张勒索软件 WannaCry 赎金票据进行了语言分析，其幕后开发者或来自讲中文的国家。 全球勒索软件 WannaCry 于近期肆意爆发，攻击者利用 SMB 漏洞开展网络攻击活动。上周，Google 、卡巴斯基等安全公司相继发布声明，指出勒索软件 WannaCry 与朝鲜黑客 Lazarus 存有潜在联系。随后，安全专家根据 WannaCry 赎金票据进行分析后表示，票据内容主要包含中文（ 简体与繁体 ）、韩语、俄语等 28 种语言，其中中文内容极其准确流利。 此外，中文票据中使用的某些术语进一步帮助安全专家缩小了地理范围。例如：赎金票据中出现的 “ 礼拜 ” 一词，主要在华南、香港、台湾或新加坡地区常见，而 “ 反病毒 ”、“ 杀毒软件 ” 等词语在中国大陆比较常见。 值得注意的是，中文赎金票据中所包含的内容并未存在其他版本注释，且格式较长、版式略有不同；而英文版赎金票据虽然看起来很好，但它包含一些主要的语法错误，这表明开发人员的母语并非英语，或受教育程度不高。 Flashpoint 分析表明，攻击者可能利用朝鲜黑客组织 Lazarus 代码作为混淆以欺骗调查人员，亦或是朝鲜 APT 组织内部招募了以中文为母语的开发者。 原作者： Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 21 日报道，安全专家发现朝鲜人民军侦察总局（ RGB ）下属的网络精英战队 Unit 180 涉嫌以谋取经济利益为目的、针对金融机构大肆展开网络攻击活动。 朝鲜外逃的前计算机科学教授 Kim Heung-kwang （金信宽）表示，Unit 180 成员可能化身为贸易公司、朝鲜海外分公司或中国与东南亚合资企业雇员，前往海外寻找比朝鲜更好的互联网服务并以此方式洗脱罪名。战略与国际研究中心专家 James Lewis 向 路透社 透露，朝鲜不仅利用黑客手段针对韩美两国开展间谍活动与政治骚扰，还在索尼被黑事件后改变策略，即通过支持犯罪活动为执政当局提供硬通货政权。据悉，这一战略显然比此前毒品、伪造与走私活动获益更多。 美国国防部在向国会提交的一份报告中指出，朝鲜可能 “ 将网络视为一种具有成本效益的不对称、可否认工具。这种工具几乎不具有报复性攻击风险，其部分原因是因为该国网络很大程度上与互联网相分隔 ”。此外，该报告还指出，朝鲜很可能为掩饰攻击起源与互联网基础设施通过第三方国家发起网络攻击活动。调查显示，马来西亚已经成为朝鲜网络攻击行动的基地，而朝鲜 RGB 也与两家马来西亚科技公司存有潜在联系。 警方表示，朝鲜曾于去年六月入侵 160 家韩国企业与政府机构逾 14 万台计算机设备。如今，恶意代码的植入已成为朝鲜长期国防计划的一部分，为大规模网络攻击奠定了基础。 原作者：Sarmistha Acharya， 译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

朝鲜常驻联合国副代表金仁龙（音）19 日在纽约联合国总部举行的新闻发布会上表示，朝鲜与近期发生的大规模勒索软件攻击事件无关。同时他还表示，朝美两国对话的前提必须是美国停止对朝鲜的敌视政策。 美国媒体 16 日曾报道，情报官员和私企安全专家根据新数字线索表明，近期发生的大规模勒索软件攻击事件的嫌疑人或与朝鲜黑客组织有关，但仍缺乏决定性证据。 赛门铁克安全专家表示，WannaCry 勒索软件早期版本所用的一些工具，曾被用于攻击索尼影业，还曾在去年被用于攻击孟加拉国央行，也在今年 2 月份被用于攻击波兰的一家银行。该公司根据过去曾准确识别美国、以色列以及朝鲜发起的攻击发现，这些攻击活动中存在相似之处，致使所有攻击源头最终指向朝鲜。 不过，单凭这些线索尚不足以得出结论，因为黑客组织常常相互“借用”工具代码、翻新攻击方法。此外，一些有国家支持的黑客组织也会故意在代码中植入混淆信息，以蒙蔽取证调查人员。 稿源：据 观察者 内容整理，封面源自网络

韩国国防部检察团于 2 日发表 2016 年 9 月韩军军网被黑事件的调查结果，确定该案系朝鲜黑客组织所为。韩国国防部检察团表示，黑客攻击行为由朝鲜黑客组织主导，攻击代码也与朝鲜黑客常用的恶性代码类似。 检察团方面解释说，2015 年 1 月和 5 月疑似来自朝鲜的黑客针对向韩国国防部提供杀毒软件的企业进行攻击，在窃取大量杀毒软件资料后，针对软件弱点发起攻击。朝鲜黑客收集杀毒软件供货企业的电子证书和杀毒软件源码等信息，并对此加以分析后入侵韩国国防部网络杀毒中转服务器，向韩国军网服务器和电脑传播恶性代码。朝鲜黑客侵入国防综合数据中心，寻找到国防网和军网接点后，攻击国防网。感染恶性代码的电脑使用者中，未遵守安全规定的用户机密等军事资料被盗取。 韩国国防部表示，军方正在研究构建 “ 网络杀伤链系统 ”（Cyber Kill Chain），以抵御朝鲜的网络攻击。“ 网络杀伤链系统 ”是指在一系列网络攻击阶段中提前探测、切断及应对其中某一阶段的攻击，以在攻击者完成任务前成功化险为夷。 稿源：cnBeta、环球网，封面源自网络

随着美国总统特朗普 13 日强调了“处理”朝鲜“问题”的意愿，朝美关系紧张程度创下新高，平壤对这次试射寄予厚望。就朝方的意图，有观点认为，朝鲜试射导弹，意在对美国进行“武力示威”。 据法新社 4 月 16 日报道，美军太平洋司令部发言人戴夫·贝纳姆发表声明称：“夏威夷时间 4 月 15 日 11 时 21 分（北京时间 4 月 16 日 5 时 21 分），美军太平洋司令部发现了我们所认为的朝鲜导弹发射并对此保持关注。导弹几乎是一发射就爆炸了。” 对于朝鲜从东海岸发射导弹失败一事，美国总统特朗普非同寻常地保持了沉默。美国国防部长马蒂斯当地时间 15 日在华盛顿发表声明称，特朗普及其军事团队“已获悉朝鲜发射导弹失败一事，总统未就此事进一步评论”。 专家认为，美国可能利用电磁波传播或网络袭击对朝鲜导弹实施了“主动抑制发射”的攻击，其中包括影响导弹上的电子设备，干扰其指挥、控制或瞄准系统。   稿源：据 凤凰资讯 整理，封面源自网络