在一项罕见的举动中,政府官员已经向安全研究人员提供了一个被认为是朝鲜黑客用于去年发动数十次针对性袭击的被扣押的服务器。
该服务器被称为Operation Sharpshooter,用于提供针对政府,电信和国防承包商的恶意软件活动 - 首次在12月发现。黑客通过电子邮件发送了恶意的Word文档,这些文档在打开时会运行宏代码以下载第二阶段的植入物,称为Rising Sun,黑客用它来进行侦察和窃取用户数据。
Lazarus Group是一个与朝鲜有联系的黑客组织,由于与黑客以前使用过的类似代码重叠,因此是主要的嫌疑人,但这种联系从未得到证实。
现在,迈克菲 说它有信心建立链接。
迈克菲的首席科学家兼高级首席工程师Christiaan Beek在一封电子邮件中告诉TechCrunch说:“这是我多年来威胁研究和调查的第一次独特体验。” “通过了解对手的命令和控制服务器,我们能够发现有价值的信息,从而获得更多调查线索,”他说。
此举是为了更好地了解来自民族国家的威胁的一部分,近年来,这种威胁被指责为2017年索尼黑客和2017年的WannaCry勒索软件爆发,以及针对全球企业的更具针对性的攻击。
在TechCrunch周日发布的新研究中,安全公司对服务器代码的检查显示,Operation Sharpshooter的运营时间比最初认为的还要长 - 可追溯到2017年9月 - 并针对更广泛的行业和国家,包括金融服务和关键欧洲,英国和美国的基础设施
Rising Sun恶意软件的模块化命令和控制结构。(图片来源:迈克菲)
该研究表明,作为恶意软件的命令和控制基础设施运行的服务器是用PHP和ASP网络语言编写的,用于构建网站和基于Web的应用程序,使其易于部署和高度可扩展。
后端有几个组件用于对黑客目标发动攻击。每个组件都有一个特定的角色,例如植入物下载器,它从另一个下载器托管和拉动植入物; 和命令解释器,它通过中间黑客服务器操作Rising Sun植入物,以帮助隐藏更广泛的命令结构。
研究人员表示,黑客使用工厂式的方法来构建Rising Sun,这是一种模块化的恶意软件,几年来拼凑在不同的组件中。迈克菲的研究表明,“这些组件出现在可追溯到2016年的各种植入物中,这表明攻击者可以使用一系列已开发的功能。” 研究人员还发现了Duuzer的“明确的进化”路径,Duuzer是一个早在2015年就用于瞄准韩国计算机的后门,也是索尼黑客中使用的同一系列恶意软件的一部分,也归功于朝鲜。
尽管有证据表明Lazarus集团,但日志文件中的证据显示据称来自纳米比亚的一批IP地址,研究人员无法解释。
“很可能这些未经混淆的连接可能代表对手正在操作或测试的位置,”研究表示。“同样,这可能是一个错误的标志,”例如在服务器遭到入侵的情况下引起混淆的努力。
该研究代表了对神枪手行动背后的敌人的理解。鉴于恶意软件作者和威胁组织共享代码并留下红色鲱鱼隐藏自己的身份,安全研究人员和政府都认识到,网络攻击的归因至多是困难的。但是,获取命令和控制服务器(恶意软件活动的核心内容)正在说明问题。
即使该活动的目标仍然是一个谜,McAfee的首席科学家Raj Samani 表示,这一见解将“为我们提供更深入的调查前景。”