FBI與DHS發布報告：需警惕朝鮮黑客組織「隱藏眼鏡蛇」

FBI與DHS發布報告：需警惕朝鮮黑客組織「隱藏眼鏡蛇」。美國當局本周二發布報告，闡述朝鮮網路部隊使用的工具和基礎設施最新細節，並且警告稱朝鮮未來將會繼續依賴網路行動以推進其軍事與戰略目標。這份新報告將朝鮮的黑客組織稱為隱藏眼鏡蛇(Hidden Cobra，商業公司報告將該黑客組織稱為Lazarus Group和Guardians of Peace。)

美國國土安全部計算機應急與響應小組和FBI發布的這份報告確認了「隱藏眼鏡蛇」管理殭屍網路基礎設施使用的IP地址和惡意軟體DeltaCharlie。

報告包括多個攻擊指示器(IOC)、惡意軟體描述、網路籤名等。

「隱藏眼鏡蛇」組織被指參與18國的一系列銀行盜竊案，涉案金額達到幾十億美元之多。並且自2009年以來針對美國乃至全球的媒體、航空航天、金融和關鍵基礎設施行業發起攻擊。

報告中對「隱藏眼鏡蛇」的描述

自2009年以來，「隱藏眼鏡蛇」一直在攻擊大量受害者，某些入侵行為導致數據泄露，而另一些攻擊行為在本質上具有破壞性。DHS和FBI鼓勵網路分析師查看此技術警告中提供的信息，以發現惡意網路活動的跡象。

「隱藏眼鏡蛇」使用的工具和能力包括DDoS殭屍網路、鍵盤記錄器、遠程訪問工具(RAT)和數據清理惡意軟體。「隱藏眼鏡蛇」使用的惡意軟體變種和工具包括Destover、Wild Positron/Duuzer和Hangman。

DHS先前已經發布了警告TA14-353A，其中包含這些攻擊者使用伺服器信息塊(SMB)蠕蟲工具的細節。

DHS還需進一步研究，以理解該組織的整個網路能力。DHS建議，網路安全和威脅研究公司對朝鮮的網路活動繼續展開調查。

「隱藏眼鏡蛇」通常攻擊的對象都是不再有來自微軟官方補丁的操作系統或是利用Adobe Systems Inc的Flash軟體漏洞展開攻擊。

「隱藏眼鏡蛇」使用漏洞影響各種應用程序。這些漏洞包括：

• CVE-2015-6585：韓語文字處理器漏洞

•CVE-2015-8651: Adobe Flash Player 18.0.0.324 和19.x 漏洞

•CVE-2016-0034: Microsoft Silverlight 5.1.41212.0 漏洞

•CVE-2016-1019: Adobe Flash Player 21.0.0.197漏洞

•CVE-2016-4117: Adobe Flash Player 21.0.0.226 漏洞

報告建議組織機構將這些應用程序升級到最新版本，並安裝補丁。如果不需要Adobe Flash或Microsoft Silverlight，報告建議將其從系統中刪除。

這份技術報告中提供的Indicator包括DeltaCharlie的IP地址(構成「隱藏眼鏡蛇」殭屍網路基礎設施的一部分)。DeltaCharlie DDoS殭屍程序最初出現在安全分析公司Novetta2016年發布的重磅炸彈行動(Operation Blockbuster)報告中。這款惡意軟體使用的IP地址在隨附.csv和.stix文件中被確認為源IP和目標IP。在某些情況下，這款惡意軟體可能已經在受害者的網路中存在已久。

然而這份警告聲明並未指明「隱藏眼鏡蛇」受害者的具體身份，但是遭到攻擊的受害者要麼數據遭竊要麼遭到損害。

「隱藏眼鏡蛇」最臭名昭著的攻擊要數2014年索尼影業的黑客攻擊事件，專家認為雖然使用的技術不夠成熟，但造成的影響力非同一般。據報道，當時自稱 「和平衛士」(Guardians of Peace)的組織機構公布了索尼影業的大量內部文件，其包含敏感的商業信息，以及數千名員工的個人數據，例如員工的電子郵件往來，老闆和下屬之間的曖昧關係等。此外，索尼影業的5部電影，包括4部未發行電影，也被公布至文件分享網站。

而經確定的IP地址來自全球多國，包括新加坡、印度、俄羅斯和科威特。

對此，朝鮮持否認態度。

FireEye公司的網路情報分析師John Hultquist指出，他們公司對來自朝鮮的網路攻擊破壞力的不斷增強表示擔憂。Hultquist表示，攻擊者看起來曾在正式發起網路攻擊之前對韓國金融、能源、運輸公司進行過偵查工作，而這帶來的後果將會非常具有破壞力。

就在DHS與FBI發布此報告的同日，朝鮮方面釋放了已經被關押在平壤有17個月的美國大學生Otto Warmbier。據悉，Warmbier現處於昏迷狀態，急需醫療救護。