神槍手:黑客攻擊美國核工業、國防、能源、金融企業
邁克菲近日發現新一輪針對美國或英語國家的企業和機構的黑客攻擊,重點目標是核能、國防機構、能源及金融企業在內的關鍵基礎設施,背後黑手可能是朝鮮。
這波自11月起開始活躍的攻擊行動被邁克菲命名為“神槍手(Sharpshooter)”,目前看來主要是進行偵察和從被感染主機上獲取敏感資訊。邁克菲並未提及與基礎設施破壞相關的行為。
與大多陣列織良好的網路襲擊類似, “神槍手”行動也是向目標公司關鍵人物傳送針對性網路釣魚郵件。 本案例中,攻擊者偽裝成招聘機構向目標人物傳送尋求英語應聘者的電子郵件。
釣魚郵件裡包含有帶毒Word文件(研究人員指出用於編制這些文件的Word軟體是韓語版的),被開啟後會在目標系統上安裝第一個惡意軟體:會回連控制伺服器的記憶體模組。
一旦連上控制伺服器,被感染主機就會下載並執行第二階段的惡意軟體載荷—— Rising Sun。該惡意軟體是攻擊行動的主力工具,負責監視網路行為並收集被感染主機上的資訊,然後加密傳送回控制伺服器。
邁克菲指出,該攻擊所用惡意軟體載荷大量借用了朝鮮黑客組織Lazarus的原始碼。而Lazarus向來以攻擊基礎設施和金融機構而聞名。
然而,這並不意味著背後黑手就是Lazarus。事實上,邁克菲認為,這種程式碼上的聯絡極有可能是故佈疑陣。
邁克菲解釋道:
‘神槍手’行動與Lazarus組織的大量技術聯絡看起來太過明顯了,倉促下結論稱就是Lazarus乾的顯然不合適,這種聯絡反而說明了誤報的可能性。
其他團體或政府借鑑Lazarus原始碼的情況不是沒有。今年早些時候,研究人員就揭示了美國政府自己的攻擊工具是怎麼被拆解再重新打包用於對付新目標的。
因此,邁克菲稱,截至目前尚無法做出有關這波攻擊幕後黑手的任何猜測。
邁克菲實驗室的報告:
ofollow,noindex" target="_blank">‘Operation Sharpshooter’ Targets Global Defense, Critical Infrastructure