安全動態(tài)

韓國某間諜組織利用5個零日漏洞攻擊朝鮮

來源:聚銘網(wǎng)絡    發(fā)布時間:2020-03-31    瀏覽次數(shù):
 

信息來源:E安全


據(jù)外媒報道,近日由韓國支持的間諜組織“黑暗旅館”成為了利用秘密軟件漏洞,對朝鮮實施間諜活動的頭號嫌疑人。根據(jù)數(shù)據(jù)統(tǒng)計,在朝鮮,電腦的利用率還并不高,大多數(shù)朝鮮人很少利用電腦辦公。但是,在過去的一年里,似乎有不少朝鮮人遭遇了嚴重的黑客攻擊,對此一些研究人員懷疑這可能是韓國實施了一場復雜的間諜活動。

圖片1.png

“黑暗旅館”組織由來已久

據(jù)信,“黑暗酒店”的黑客至少從2007年就開始活躍了,但是卡巴斯基在2014年才開始給該組織起名字。因為研究人員發(fā)現(xiàn)該組織最初是在破壞酒店的Wi-Fi網(wǎng)絡,根據(jù)房間號碼對特定的酒店客人進行針對性很強的攻擊,因此給他們起了這個名字。研究人員表示,“黑暗旅館”長期以來一直對朝鮮和中國的關鍵用戶進行黑客攻擊,尤其是發(fā)起相關間諜活動,入侵者從這些目標中獲取他們感興趣的文件、電子郵件和重要研究數(shù)據(jù)等?!昂诎德灭^”被廣泛懷疑是由韓國政府掌控的,因此研究人員暫時將“黑暗旅館”的可疑贊助者命名為韓國。

近期,谷歌威脅分析小組的網(wǎng)絡安全研究人員透露稱,一組不知名的黑客在2019年期間利用了至少5個零日軟件漏洞,黑客通過這些零日漏洞來破解電腦系統(tǒng)防線,以此攻擊和監(jiān)控朝鮮相關行業(yè)專家和研究人員的電腦信息。黑客利用Explorer、Chrome和Windows的漏洞,發(fā)送帶有惡意附件或鏈接到惡意網(wǎng)站的釣魚郵件,還有所謂的“水坑攻擊”(waterhole attack),當受害者訪問某些網(wǎng)站時,他們的電腦上就會被植入惡意軟件。但是,谷歌拒絕就誰應該對此攻擊負責發(fā)表評論。對此,俄羅斯安全公司卡巴斯基告訴相關外媒雜志,他們已將谷歌的發(fā)現(xiàn)與“黑暗旅館”的行動聯(lián)系起來,“黑暗旅館”在過去曾被懷疑為韓國政府工作,將朝鮮用戶作為目標。

同時,研究員觀察到韓國針對朝鮮發(fā)起攻擊的大部分目標,都與和朝鮮相關軍事政治行業(yè)有關。在對一個跟蹤郵件進行分析后,谷歌表示雖然此類攻擊的受害者不局限于朝鮮,但朝鮮政權依舊還是最主要的目標。在谷歌將零日漏洞與針對朝鮮攻擊聯(lián)系起來的幾個小時后,卡巴斯基的研究人員就已經(jīng)將Windows中和Internet explorer中的兩個漏洞與“黑暗旅館”的那些攻擊特征聯(lián)系起來,嘗試推進漏洞的特征匹配分析。

圖片2.png

復雜并極具難度的攻擊方式

相關專家表示,對于韓國而言,監(jiān)視朝鮮,竊取朝鮮的重要行業(yè)信息并不讓人意外,因為韓國和朝鮮的關系一直非常緊張。但是,韓國可以在一年內五次利用零日漏洞進行入侵行動著實令人驚訝,畢竟這種攻擊具有一定復雜性,還對資源獲取能力有一定要求。對此,谷歌網(wǎng)絡安全公司研究員Toni Gidwani在該公司的博客中表示,在相對較短的時間內,能夠從同一目標對象上發(fā)現(xiàn)這么多零日漏洞非常罕見。

僅僅在過去的三年里,卡巴斯基發(fā)現(xiàn)“黑暗旅館”使用了三個零日漏洞,而根據(jù)谷歌現(xiàn)在的博客文章,該組織在一年內就利用了五個零日漏洞。而且,卡巴斯基研究人員表示這些攻擊者似乎是在內部完成所有入侵工作的,而不是使用其他來源的代碼,這說明他們的技術水平很高,該組織很可能是世界上最足智多謀的黑客組織之一。

據(jù)悉,卡巴斯基的研究人員此前就曾發(fā)現(xiàn)這些類似漏洞,利用它們在客戶的電腦上植入已知的“黑暗酒店”(DarkHotel)惡意軟件??ò退够蜓芯颗c分析團隊的負責人科斯汀·拉尤(Costin Raiu)表示,darkhotel.com有關的攻擊行為發(fā)生在微軟修補其漏洞之前,這表明darkhotel.com不僅僅是在重復利用同一個漏洞,因此,谷歌將被發(fā)現(xiàn)的5個零日漏洞都歸為該黑客組織所有。

美國國家安全局黑客和攻擊安全會議的創(chuàng)始人 Dave Aitel對此表示,目前谷歌發(fā)現(xiàn)的大多數(shù)零日漏洞和朝鮮攻擊都存在與Internet Explorer中,黑客用了創(chuàng)造性的方式來使用這些漏洞,并在微軟的瀏覽器代碼中入侵受害者使用的軟件系統(tǒng)。

據(jù)悉,在微軟的一份Office文檔中發(fā)現(xiàn)了一個Internet Explorer漏洞,該漏洞僅僅是調用web瀏覽器代碼就啟動了嵌入文檔中的在線視頻。此外,在另一個案例中,黑客修改并利用了IE沙盒中的一個漏洞,就繞過了FireFox沙盒的安全特性檢測,可以將瀏覽器中的代碼與計算機中的其他部分隔離開來。Aitel表示,這個組織的黑客能夠利用這些漏洞進行工程設計,使之適合他們自己的框架,這真的展現(xiàn)了他們操作上的高水平。同時,Aitel指出,針對該組織的復雜程度應該提醒那些在防御黑客資源方面被視為“二線”的國家,即除了俄羅斯、中國和美國以外的那些國家。由于部分國家和用戶低估了該組織帶來的風險,才為這些組織提供了越來越多的入侵機會。


 
 

上一篇:世界經(jīng)濟論壇:新冠病毒暴露全球“安全鴻溝”

下一篇:2020年03月31日 聚銘安全速遞