絕密檔案:美國當局如何追蹤WannaCry背後的朝鮮黑客?
美國當局對四年來的惡意軟體樣本、域名、電子郵件以及社交媒體賬戶進行了全面整理,旨在追查一名來自拉撒路集團的朝鮮黑客。
樸智孝( Park Jin Hyok )
今年 9 月6日,美國司法部正式指控一名朝鮮程式員,稱其需要對近年來發生的一系列最大規模網路攻擊事件負責。
根據美國司法部發布的這份長達179頁的起訴書,美方認為,現年34歲的朝鮮人樸智孝(音)正是此前眾多惡意軟體攻擊與入侵活動的背後參與者之一,具體包括:
- 2017年WannaCry勒索軟體爆發。
- 2016年嘗試入侵美國國防承包商洛克希德馬丁公司。
- 2016年孟加拉國中央銀行網路劫案。
- 2014年索尼電影娛樂入侵活動。
- 2014年入侵美國連鎖影院AMC Theatres與Mammoth Screen。
- 多年來針對韓國新聞媒體、銀行與軍事實體的一連串黑客攻擊。
- 2015年至2018年期間進行的一系列全球銀行黑客活動。
美國司法部方面表示,樸智孝為政府資助的黑客組織中的活躍成員。該組織在私營網路安全領域被稱為拉撒路( Lazarus )集團。
但事實上,官員們表示他同時也是一名政府僱員,供職於一家名為朝鮮博覽會聯合投資公司的政府所有企業。
調查人員表示,這家公司為朝鮮與韓國政府共同建立的合資企業,旨在建立各類電子商務與彩票網站。目前韓國方面已經退出合作,但朝鮮政府繼續通過多名個人管理這家公司,併發布包括線上遊戲與博彩服務在內的各類線上內容。該公司在朝鮮與中國設有辦事處,而樸智孝則在該公司位於大連市的駐中國辦事處工作多年。
在這裡,調查人員發現樸智孝曾經以“開發人員”與“線上遊戲開發人員”職位進行工作,擁有Java、JSP、PHP、Flash程式碼編寫能力,同時亦熟悉Vicusla C++——拉撒路集團的大部分惡意軟體皆由這種語言編寫而成。
美方官員表示,該公司實際上是朝鮮軍事情報機構Lab 100的前端與商業實體。起訴書中提到,根據一位現居韓國的政治異見者所言,朝鮮博覽會公司負責為朝鮮政府官員提供“掩護”。
調查人員們表示, 樸智孝於2014年年底返回朝鮮,不久之後拉撒路集團即開始進行一系列黑客入侵。
司法部起訴書以極大的篇幅列出了所有黑客活動當中所使用的,用於註冊域名及購買託管服務的電子郵件地址。
起訴書中還包含用於訪問惡意軟體命令與控制(簡稱C&C)伺服器、社交媒體賬戶以及託管惡意軟體的已入侵伺服器的IP地址。
官員們指出,他們已經確定了 樸智孝在公司任職期間使用的電子郵件與社交媒體賬戶,外加拉撒路集團在其四年黑客活動當中曾經使用的電子郵件與社交媒體賬戶。
調查人員還特別提到名為“金孝佑”( Kim Hyon Woo )的偽造身份,其似乎通過IP地址或電子郵件地址與拉撒路集團的黑客行動及相關受害者進行聯絡。
但官員們同時表示,儘管樸智孝一直在努力避免使用真實身份、電子郵件及IP地址訪問拉撒路集團的基礎設施與黑客伺服器,但他最終還是在真實身份與偽造身份之間留下了一些聯絡:
樸智孝與朝鮮博覽會公司賬戶以及“金孝佑”賬戶間的關聯,包括共享對同一加密.rar歸檔檔案的訪問、將“金孝佑”賬戶儲存在朝鮮博覽會公司賬戶的聯絡人簿內。 在兩組賬戶之間使用閱讀標記、使用相同的名稱與暱稱,以及從相同的IP地址訪問賬戶等等。
官員們認為,這些與“金孝佑”相關的線上賬戶曾被多位操作者所使用,而樸智孝正是其中之一。
此外,考慮到他的程式設計教育背景,官員們還認定他曾參與拉撒路集團的惡意軟體建立工作。
雖然無法確定具體參與開發了哪款惡意軟體,但司法部官員們強調稱其與拉撒路集團多年來所使用的幾種惡意軟體之間存在著無數關聯。
司法部在起訴書當中披露了部分聯絡,例如:
WannCry樣本與Trojan.Alphanc都曾使用84.92.36.96這一IP地址作為命令與控制IP地址。該IP地址亦作為另一惡意軟體樣本的命令與控制地址使用——FBI方面發現,該惡意軟體與已經歸因於拉撒路集團的、曾用於攻擊洛克希德馬丁公司的惡意軟體擁有類似的投放方式。2016年2月29日與3月1日,曾有朝鮮IP地址與該IP地址連線。……具體來講,該朝鮮IP地址曾於201 6 年1月8日、1月22日以及1月27日被用於訪問某遭入侵Web伺服器,同時亦曾接入北卡羅來納州一臺被SPE攻擊相關惡意軟體所感染的計算機。此外,2016年3月10日,其被用於訪問某Facebook個人資料頁面,此頁面曾於20 15 年12月13日經由二號朝鮮IP地址進行訪問。
起訴書當中還詳細介紹了更多關於連線方式的內容,並將其構建為一套複雜的網路。其將所有拉撒路基礎設施串連起來,並使得“金孝佑”這一偽造身份遭到日光,最終將線索指向了曾由樸智孝使用的朝鮮博覽會公司賬戶。
除此之外,司法部還發現了程式碼複用問題,即拉撒路集團不同惡意軟體版本間存在大量重複程式碼。
其中最常見的複用程式碼片段被調查人員們稱為“FakeTLS”資料表,其存在於WannaCry、MACKTRUCK(SPE黑客活動)、NESTEGG(菲律賓銀行入侵活動)以及Contopee(菲律賓銀行及南亞銀行入侵活動)等多種惡意軟體當中。
根據FBI及其他調查人員的分析,FakeTLS資料表似乎與網路安全企業之前確定的“fake TLS ”協議有關。這是一種由拉撒路集團黑客設計的定製化網路協議,旨在模擬TLS連線,但實際上可使用自定義的加密方案隱藏夾帶在傳輸過程中的竊取資料。
樸智孝被指控犯有詐騙及違法濫用等多項罪行,最高刑期為五年監票; 另有一系列串謀詐騙指控,可能給其帶來最高20年的刑期。美國官員表示,他們仍在努力追查樸智孝的其他犯罪夥伴,而美國財政部也將對樸智孝本人及朝鮮博覽會公司實施制裁。
美國財政部外國資產控制辦公室(簡稱OFAC)今天表示,“鑑於當前形勢,必須對特定人員藉由美國人或美國境內持有或控制的特定財產或財產權益加以封禁,同時禁止美國民眾與特定人員接觸。”
英國國家犯罪局亦參與到此次調查當中。
本文由安全內參翻譯自 ofollow,noindex">ZDNet
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。