根据网络安全公司FireEye Inc.的最新报告,朝鲜三大黑客组织之一Reaper作出战略转变,开始寻找海外目标,并且不掩饰其踪迹。这表明面对更严厉制裁的朝鲜政权仍在明目张胆地开展网络攻击。
根据网络安全公司FireEye Inc.的最新报告,朝鲜三大黑客组织之一Reaper作出战略转变,开始寻找海外目标,并且不掩饰其踪迹。这表明面对更严厉制裁的朝鲜政权仍在明目张胆地开展网络攻击。
Reaper长期以来都专注于入侵韩国的公共机构、军事部门和私营公司。而FireEye周二的报告显示,Reaper去年将攻击范围扩大至日本、越南和中东,运用惊人的复杂技能为金正恩政权搜集秘密情报。
Reaper的浮出水面意味着目前朝鲜有两大网络组织正在开展全球性攻击。另一个组织通常被外国网络安全公司称为Lazarus,牵涉朝鲜一些引发外界关注的行动,包括最近的加密货币盗窃、去年的WannaCry网络勒索以及2014年对索尼影视娱乐(Sony Pictures)的黑客攻击。
FireEye表示,与Lazarus黑客分布在全球不同,Reaper的人员似乎主要驻扎在平壤。FireEye称,Reaper的恶意软件攻击都发生在朝鲜的工作日,攻击高峰时段为当地时间上午11点以及下午3点,中午时段明显平静。
FireEye的情报分析负责人John Hultquist称,Reaper的黑客正好来自平壤IP段。IP段是识别计算机位置的互联网协议地址。
由于担心遭外交或经济报复,大多数国家层面的黑客组织都不会进行如此大胆的网络攻击。但Hultquist表示,随着国际社会加强对朝制裁,朝鲜人已经不那么在乎被发现了。
韩国网络安全专家将朝鲜的网络力量分为三个团队:A队,或称Lazarus,负责攻击外国银行和公司;B队,或称Reaper,专门负责攻击韩国;C队负责发送电子邮件并收集信息。过去20年来韩国顶住了朝鲜的网络攻击压力。
朝鲜则多次否认曾参与任何网络攻击活动。
FireEye称,Reaper新的海外攻击目标是化学、航空航天、汽车和医疗保健行业的私营公司。
FireEye提到朝鲜的一个攻击目标是中东一家公司,这家公司曾与朝鲜政府成立合资公司,为该国提供电信服务。FireEye怀疑,在双方的业务合作失败之后,朝鲜政府这样做是为了收集这家公司的信息。
FireEye未披露这家公司的名称。但埃及的Orascom Telecom Media and Technology曾在2008年与朝鲜政府成立合资公司,负责运营该国的Koryolink移动网络。
Orascom董事长Naguib Sawiris对《华尔街日报》(The Wall Street Journal)表示,他不知悉去年任何朝鲜网络攻击情况,并称对是否发生过这类攻击持怀疑态度。他说,一个乌克兰组织曾对Orascom发起过一次攻击,但没有成功。
FireEye表示,Reaper仍在寻找韩国的目标,不过近期的攻击之所以引人注意,是因为其技术水平。
过去几个月,Reaper针对韩国人实施了一次“零时差(zero-day)”攻击,利用的是此前未知的Adobe Flash漏洞。Adobe Flash是很多互联网浏览器使用的一款多媒体播放器。
此类攻击并不常见,被视为黑客界最尖端同时也是最昂贵的网络武器,因为所涉及的恶意软件很难生成。通过将恶意软件嵌套进Adobe Flash文件,朝鲜黑客能够远程登录受感染电脑。
Hultquist称,Reaper之前的攻击没有这么复杂,因此并未受到特别关注。他表示,现在Reaper可能有了一个全球性使命,并且朝鲜政府越来越倚重该组织执行其他任务。