FBI:索尼事件、WannaCry和8100萬銀行劫案都是朝鮮干的
責編:gltian |2018-09-10 10:04:03美國政府正式指控朝鮮政府,稱其是索尼影業黑客事件、WannaCry勒索軟件攻擊和一系列網絡銀行劫案背后主使。
9月6日的新聞發布會上,FBI和美國司法部(DoJ)宣稱:一隊朝鮮黑客掛靠所謂的朝鮮博覽合資公司( Chosun Expo Joint Venture ),執行了這些國家支持的黑客攻擊。
該黑客組織被安全公司廣泛稱為 Lazarus Group,FBI和DoJ確認了其中一名成員樸金赫( Park Jin Hyok,音),并將其作為逃犯加入了FBI通緝榜。
DoJ發言人稱,美國將根據調查結果對朝鮮施加更多制裁。
長期以來,朝鮮一直被懷疑(和指控)施行了索尼影業黑客攻擊和WannaCry勒索軟件攻擊,但現在,這些指控被正式提出了。
負責調查的特別探員給出了一份長達179頁的證詞,對樸金赫、他加入的黑客組織,及其最終后臺朝鮮政府與這些攻擊之間的聯系做了詳盡的闡述。
證詞描述了該組織是怎么利用多個Gmail賬戶執行攻擊并試圖掩藏痕跡的,但同時也指出,他們留下了一系列電子碎屑,且使用了朝鮮政府的一個電子郵件賬戶,最終讓調查人員摸到了黑客身份并關聯上朝鮮政府。
觸及全球
官方強調,該黑客組織的行動觸及全球,為此,美國方面已經發出超過100份搜查令,向外國提出了85個信息調閱請求。
指控中提到的網絡犯罪的規模相當驚人,是對所有尊重法治和普適網絡規范的人的侵犯。
該黑客組織攻擊娛樂公司和銀行,然后用同樣的代碼創建了WannaCry勒索軟件,引發全球混亂,其中就包括搞攤了英國國家醫療健康服務(NHS)。
索尼影業被攻擊是因為出品了電影《刺殺金正恩》,朝鮮人認為該電影對他們的領袖不敬。于是,Lazarus組織通過魚叉式網絡釣魚攻擊滲透了索尼影業的系統,將其高管的私人郵件泄露到網上,給索尼影業帶來巨大的公關麻煩。而且,尚未上映的電影拷貝也被流到了網上。
調查人員發現,排定上映該片的AMC院線,以及正在拍描寫朝鮮的電影的一家英國制作公司,同樣遭到了攻擊。
自2015年始,該黑客組織還攻擊了多家銀行,其中最成功的是2016年2月的孟加拉央行8100萬美元驚天劫案。但其他橫跨全球的大大小小銀行劫案也造成了超過10億美元的損失。
各類目標
除了索尼影業和全球多家銀行,該組織還對西方目標展開廣泛攻擊,包括醫院、大學、能源公司、國防承包商、加密貨幣交易所等等。
這些攻擊中多次用到同樣的設備、IP地址和加密密鑰,硬編碼到惡意軟件里的域名也在這些黑客的控制之下,比如fancug.com。
調查還發現,在攻擊之前,該黑客團隊會通過社交賬號跟蹤目標公司的特定人員,進行有效的網上監控,抽取出相關域名和業務記錄,以期找出目標系統中的漏洞,找到對目標公司員工進行魚叉式網絡釣魚的最佳方式。
某攻擊中,Facebook發給受害者的訪問IP地址變動警告郵件被這伙黑客攔截,將其中通往Facebook網站的鏈接替換成黑客控制下的域名后又重發給了受害者。于是,受害者點擊了合法Facebook郵件中看起來像是合法的鏈接,卻被導引到黑客控制的網站給自己的計算機下載安裝上惡意軟件。黑客在受害者使用的谷歌Drive和其他服務上也有類似操作。
證詞詳細描述了調查人員是怎么通過服務器日志和其他電子證據追蹤這些攻擊的。
正式起訴書中描述道,朝鮮黑客樸金赫經常去中國從事合法計算機工作,然后回朝鮮為他的國家繼續其黑客任務。調查人員發現了他的履歷并追蹤了他的行動。
長期有效
美國政府承認,因為沒有引渡協議,他們不太可能去朝鮮抓捕樸金赫,但強調稱,有必要曝光這名黑客并提出正式的指控。
我們的通緝長期有效,也為他終將被逮捕的那一天做好了萬全準備。點出這個組織就是為了表明我們知道是誰干的。我們要傳達的信息是:你躲不了!
在不相關的新聞里,就在DoJ的新聞發布會開始前幾小時,在宣布對朝鮮的進一步制裁之前,特朗普才毫無預兆地稱贊了金正恩。
特朗普在推特上說:“朝鮮的金正恩表達了對總統的堅定信念。謝謝金主席。我們會共同把事情搞定的。”
179頁證詞地址: