關注網路戰

摘要： 1 換個角度看美國對朝鮮黑客的指控(MJ-18-1479) 1.1 簡介 美國司法部在2018年6月8日釋出了一則對朝鮮黑客樸金赫的有罪推定檔案,編號為:MJ-18-1479. 檔案中斷定這位名為樸金赫的小哥是朝鮮國家隊黑客,並以一位程式員的身份參與實施了多起網路諜戰攻擊,...

1 換個角度看美國對朝鮮黑客的指控(MJ-18-1479)

1.1 簡介

美國司法部在2018年6月8日釋出了一則對朝鮮黑客樸金赫的有罪推定檔案,編號為:MJ-18-1479.

檔案中斷定這位名為樸金赫的小哥是朝鮮國家隊黑客,並以一位程式員的身份參與實施了多起網路諜戰攻擊,包括但不限於:

1. 2014年對索尼映畫的攻擊.

2. 編寫了2016年橫掃全球150個國家的wannaCry蠕蟲.

3. 首見的利用SWIFT系統攫取金錢的行動—致使孟加拉銀行損失了8100萬美元.

4. 以及針對美國國防武器承包商 洛克希德馬丁 的釣魚郵件攻擊.

樸金赫其人:

1. 畢業於朝鮮金策大學(kut.edu.kp)

2. 2011年-2013年在中國大連Chunsun公司工作.(不寫木馬的時候接點軟體外包工作為國家賺取外匯.)

3. 2014年返回朝鮮(索尼映畫被攻擊的前夕).

4. lazarus黑客小組的成員—隸屬朝鮮Lab001—隸屬朝鮮偵查總局.

1.2 那麼美國情報部門是如何發現這位樸小哥的呢?

答案很簡單,他們發現了樸小哥在中國大連工作時候使用的諸多郵箱,並對這些郵箱使用了XX手段.

下面羅列一些美國人的XX手段:

1. tty198410@gmail.com、 watsonhenny@gmail.com 、yardgen@gmail.com 、jasmuttly@daum.net、 mrwangchung01@gmail.com 這幾個郵箱用同一臺機器訪問過.

2. tty198410@gmail.com 這個郵箱的註冊時間是2011年9月1日,註冊時候填寫的姓名是 "K YM", 註冊時候填寫的恢復郵箱是 hyonu@hotmail.com,郵箱所有人在2014年9月至2015年5月掛著代理使用的這個郵箱.此郵箱賬號的calendar服務時區設定為亞洲/平壤.

3. 2013年11月,tty198410@gmail.com 註冊了Rapid7賬號(就是那個開發Metasploit的公司). 訪問的IP是210.52.109.0-210.52.109.255(屬於中國被朝鮮使用著).

4. tty198410@gmail.com 使用"Kim HyonWu"名字註冊過另一家網路安全公司的賬號.

5. hyonu@hotmail.com 註冊時間為 2007年3月13日,使用的語言是朝鮮語,註冊位置是韓國首爾,註冊名字是 "Kim Hyon Woo".

6. hyonu@hotmail.com 在2007年4月23日使用IP#2在某知名軟體論壇查看了軟體程式設計相關的文章.

7. hyonwoo01@gmail.com此郵箱收到了N多郵件附件,每一個附件都被FBI探員成功恢復.裡面涉及特馬樣本相關資訊.或與DarkSeoul賽博攻擊有關.

8. 2015年12月4日在黑客論壇(hackforums.net)發帖 "我的郵箱是campbelldavid793@gmail.com 誰有doc exploit 發我一份"

等等諸如此類不一而足.

那麼我們換一個角度看這些XX手段, 能發現什麼呢?

能發現美情報機構可以:

1. 獲得目標郵箱的 準確註冊時間 註冊時候填寫的備用郵箱 註冊裝置的語言、時區設定

2. 重建目標郵箱的郵件內容,以及檢視郵件附件.

3. 具體 什麼時間 通過 什麼裝置 使用 什麼IP 訪問了目標郵箱.

4. 某特定裝置歷史上曾經訪問過多少次目標郵箱.

5. 目標郵箱曾經註冊過 哪些網站 (這個是全球範圍內的網站) 在 什麼時間註冊的 註冊之後 幹了什麼 .

6. 是否 掛代理 是否 使用跳板 訪問了目標郵箱.

這…這…這不是就是XKeyscore麼….