朝鲜黑客的老巢竟藏在泰国大学中？McAfee 扒了一波作案细节

朝鲜黑客一直是世界各大安全公司的重点研究目标，2017年4月底，赛门铁克就曾发布过一个报告，认为朝鲜网络攻击集团对世界多国银行发动了攻击，并预测其窃取资金超过一千亿韩元（折合人民币6.13亿元）。

同时，还列出证据表明，朝鲜网络攻击的目标包括孟加拉国、越南、厄瓜多尔、波兰等国银行，目前已经从这些国家的银行盗窃了至少 9400 万美元。

一年之后，发现，又一知名安全公司迈克菲（McAfee）也同样在4月底发布报告，再次挖出了朝鲜黑客的不少黑料。McAfee高级威胁研究团队指出，经过长期的跟踪研究，一项名为 Operation GhostSecret 的大型黑客活动疑似与朝鲜政府支持的黑客组织 Lazarus有关，因为攻击中使用了与该组织有关的各种工具和恶意程序。

Lazarus 你是不是听着有些耳熟？对，就是那个曾对索尼影业公司进行摧毁性攻击、从孟加拉央行盗取8100万美元、被认为是 WannaCry的重要幕后黑手的黑客团伙 Lazarus 。

研究人员最初以为， Operation GhostSecret 只是 3 月初发生在几个土耳其金融机构和政府组织的大规模网络攻击，但 McAfee的报告显示，这个攻击实际上波及了 17 个国家。背后攻击者瞄准关键基础设施、娱乐、金融、医疗保健和电信等多个行业，窃取业内敏感数据，目前依旧活跃。

这个判断并非是空穴来风的推测，而是有了实锤，这个实锤就是找到了黑客所用的服务器的藏身之地！

据外媒 SecurityAffairs 的消息，泰国当局在ThaiCERT（相当于泰国的国家互联网应急响应中心）与迈克菲（McAfee）的协助下，找到了朝鲜 APT 组织 Hidden Cobra 使用的服务器。

泰国当局发现，这台服务器居然藏在一所泰国大学里，2014 年朝鲜黑客就借助这台服务器让索尼影业大量邮件和电影拷贝曝光。

在今年的 3 月 15 日至 19 日，美国、澳大利亚、日本和中国的服务器多次受到感染。泰国近 50台服务器更是受到恶意软件的严重打击，是所有国家中受到攻击最严重的，也是出自这个服务器。

据悉，该服务器当年是 Hidden Cobra 发动 GhostSecret攻击时的指挥和控制中枢。如果没有迈克菲专家在全球范围内的不懈分析与调查，这台服务器恐怕还安静的躺在泰国那所大学中。

我们对 GhostSecret 攻击的调查显示，黑客当时用了多个恶意软件进行植入，其中包括性能与 Bankshot 类似的软件。在 3 月 18 日到26 日的调查中，我们发现恶意软件其实分布在全球多个地方，这种新型变种在许多地方都与恶意软件 Destover 类似，后者就是 2014年让索尼营业元气大伤的罪魁祸首。

McAfee 在对控制服务器设施进行进一步调查后发现，与控制服务器203[.]131[.]222[.]83 捆绑的 SSL 证书d0cb9b2d4809575e1bc1f4657e0eb56f307c7a76 在 2018 年 2月的一次植入中也用到了，而这台服务器属于泰国法政大学。索尼影业被攻击后，Hidden Cobra 就一直在使用这一 SSL 证书。

泰国是 Destover 变种感染的重灾区

发现，ThaiCERT 发布的一份安全公告指出，GhostSecret 攻击今年 2 月份重出江湖。迈克菲也发现了三个属于法政大学的 IP地址（203.131.222.95、203.131.222.109、203.131.222.83），它们与攻击脱不了干系。

可怕的是，现在这场攻击还处在进行时。

迈克菲表示，GhostSecret是一场全球范围的数据侦查项目，它针对的是关键基础设施、娱乐、金融、医疗保健和通讯等。攻击背后的黑客用上了多种植入物、工具和恶意软件变种，其手法与当年的Hidden Cobra 如出一辙。

与此同时，McAfee 高级威胁研究团队还发现了一个未登记在案的植入物 Proxysvc，2017 年年中它就开始偷偷祸害别人了。

眼下，ThaiCERT 正联合当地政府与迈克菲分析这台服务器中的内容，不知它们是否还能挖出什么惊天大秘密。

SecurityAffairs

相关文章：探秘 | 比朝鲜核武器更炸裂更神秘的，是朝鲜黑客部队

朝鲜 Lazarus 团伙黑客工具分析

朝鲜网络作战部队已达6800人，个个水平高超，韩国恐慌