黑客 勒索_韩国黑客勒索病毒
文字日记:
APT黑客组织为何又盯上数字货币?
近日,腾讯御见威胁情报中心监测到疑似朝鲜的黑客组织Lazarus再度活跃,利用最新Flash漏洞CVE-2018-4878频繁发起攻击,通过传播暗藏FALLCHILL远程控制木马的恶意doc文档进行鱼叉攻击,对象主要为国外数字货币交易所。
从Adobe漏洞致谢公告来看,CVE-2018-4878漏洞的野外攻击样本最早是由韩国计算机应急响应小组(KR-CERT)发现。而KR-CERT也表示,来自朝鲜的黑客组织已经成功利用这个0Day 漏洞发起攻击,与Lazarus主要攻击目标一致,进一步验证了Lazarus组织就是本次攻击活动的发起者。
虽然该攻击目前尚未在我国发现,但国内用户仍不可放松警惕。腾讯安全联合实验室反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒 *** 、企业等用户,切勿随意打开来历不明的邮件附件,同时建议安装腾讯电脑管家等安全软件,可有效抵御不法分子的攻击。
《腾讯安全2017年度互联网安全报告》指出,2018年由数字加密货币而起的犯罪活动或将呈现高发态势。据国外安全公司的调查显示,本次发起攻击的Lazarus组织与2017年美国国防承包商、美国能源部门及英国、韩国等比特币交易所被攻击等事件有关。2017年席卷全球的“WannaCry”勒索病毒安全事件也被怀疑是该组织所为。
据公开资料介绍,Lazarus(T-APT-15)组织是来自朝鲜的APT组织,该组织长期对韩国、美国进行渗透攻击,此外还对全球的金融机构进行攻击。尽管Lazarus组织的攻击活动不断地被披露,但是该组织从未停止攻击的脚步,同时还把攻击目标不断扩大,包括能源、军事、 *** 等部门专项金融机构,尤其是数字货币交易所等,该组织堪称全球金融机构的更大威胁。
Lazarus组织擅长使用邮件钓鱼进行鱼叉攻击,同时武器库强大,具有使用0day漏洞发起攻击的能力。本次攻击依然采用该组织最常用的鱼叉攻击,通过内嵌恶意文档对目标进行攻击。不法分子十分狡猾,将邮件文档伪装成协议、更流行的加密货币交易所的安全分析、IT安全等热点内容,具有极强的迷惑性和诱惑性,以此吸引用户下载运行。
腾讯安全反病毒实验室经过分析溯源发现,该恶意文档卸载的载荷为FALLCHILL远程控制木马最新变种。FALLCHILL木马是朝鲜的黑客组织Lazarus开发并使用的木马,最早出现于2017年初。该木马能够实现远程文件操作、远程进程操作、远程信息获取、自卸载等各种功能,用户一旦中招,电脑重要信息将面临极大威胁。
朝鲜为什么没有受勒索病毒
物理隔绝,基本不与外界的互联网连接。我国只是墙,朝鲜直接物理隔绝。
朝鲜的互联网由国内独家互联网服务供应商——星合营会社(Star Joint Venture Co.)提供,它是朝鲜递信贸易会社与泰国洛士利太平洋(Loxley Pacific)合资的企业。从2009年12月21日开始,朝鲜互联网的IP地址分配由该公司控制[5]。在成立星合营会社之前,朝鲜只能通过与德国相连的卫星 *** ,或者在 *** 需要时直连到中国联通或俄罗斯TransTeleCom电信公司的线路来访问互联网[6][7]。现在朝鲜几乎所有的互联网流量都会通过中国路由[8]。
从2013年2月开始,位于朝鲜的外国人可以通过高丽电信提供的3G服务进行手机上网[9][10][11]。
在朝鲜,互联网的访问权限受到了极其严厉的限制。2016年,研究机构“We are social”发布调查报告,表示朝鲜只有7,200名互联网用户,占全国人口数量的0.03%[12],可以不受限制访问互联网的人往往自称是高官、非 *** 组织成员或外国大使[8][13]。金正日也表示自己热爱“网上冲浪”[14]按照Incapsula(英语:Incapsula)安全研究员奥弗·嘎耶的说法,朝鲜全国的 *** 流量痕迹比福克兰群岛还要少[15][16]。同时身为《东亚日报》记者和脱北者的朱成夏指出,截止到2014年,朝鲜 *** 已经用光明网来限制互联网使用率,特别是在旅馆等环境。尽管大多数大学校园已经能够访问光明网, *** 还是会“严格监控 *** 访问”[13]。对于互联网的存在,朝鲜很多市民可能浑然不知[8]。
但是,朝鲜的信息技术产业正在增长,对互联网访问的需求量也在增加[17]。在2010年10月,朝鲜中央通讯社网站通过朝鲜的服务器和朝鲜IP地址上线,这是已知的之一个直接连往互联网的朝鲜网站[18]。与此同时,10月9日,参加朝鲜劳动党成立65周年庆典的外国记者可以在专门安排的记者室内完整地访问互联网[19][20]。不过,由于朝鲜 *** 的孤立政策,人们很难了解朝鲜电子产业的发展情况。苹果、索尼和微软公司禁止将其产品销往朝鲜,所以有第三方公司购买他们的产品,并将其作为自己的商品销售给朝鲜客户[8]。
从2016年4月开始,朝鲜封锁了Facebook、YouTube、Twitter和韩国网站,因为“对网上信息的传播表示关切”[21]。
勒索病毒是否乃朝鲜黑客捣鬼:朝鲜官员这么回应的
此前,有美国媒体报道称,根据一些情报官员和安全专家以及一些新的数字线索表明,此次大规模勒索软件全球性攻击导致世界各地各行业电脑系统瘫痪的嫌疑人,可能是与朝鲜有关联的黑客。
不过,据外媒报道,朝鲜朝鲜常驻联合国副代表金利龙(KimInRyong)在近日举行的联合国新闻发布会上表示,将WannaCry蠕虫勒索软件 *** 攻击跟朝鲜联系起来非常可笑。
有急着在新闻发布会上向金利龙提问,朝鲜方面是否参与了此次波及全球的WannaCry攻击以及对监控违反制裁行为的联合国专家的攻击。金利龙否认了这一说法,他说:把 *** 攻击跟朝鲜民主主义人民共和国联系起来是非常可笑的。他补充说道:““每当有奇怪的事情发生,美国和其他敌对力量就根据其刻板印象,展开抹黑朝鲜的活动。”
而据赛门铁克和卡巴斯基的安全专家近日称:WannaCry勒索软件早期版本中使用的一些代码也出现在了Lazarus小组所使用的攻击软件上面,而很多公司研究人员认为,Lazaus是朝鲜的黑客小组。
此外,意大利驻联合国代表团发言人兼联合国安理会朝鲜制裁委员会主席也声称,负责监控违反制裁行为的联合国专家组的一名成员遭到了 *** 攻击。
个人认为,其实此次蠕虫勒索病毒的爆发到目前为止都没有一个特别好的破解之法,能够将被勒索病毒加密的文件强行解密或者恢复,因此当务之急应该是全世界安全人士联合起来开发出相应的破解工具。
另外,据最新资料显示,阿里云安全团队于本月20日已经对用户开放了勒索病毒“一键解密和修复”工具,能够在遭遇勒索后尚未重启操作系统的前提下帮助用户恢复已被WannaCry勒索病毒加密的文件,有兴趣的朋友可以自行下载测试。
而黑客组织织“影子经纪人”日前再度发布警告声称,将会在6月份披露等更多的黑客工具,并将攻击范围延伸至Windows10、路由器、浏览器甚至是手机。因此,目前全球安全 *** 形势是十分严峻的,如果这一声明成真的话,那么未来还未对病毒设防的用户势必会遭遇更大的损失。
当然,面对未知的病毒我们其实做不了什么,如同人类病毒一样,在未曾爆发之前我们也无能为力,只能在其爆发后对其进行研究分析,再得到破解之法。
因此,在这里笔者建议,请各位用户务必尽量保持自己的电脑操作系统、手机操作系统、路由器等终端的更新,时刻注意对已知的漏洞打上补丁,防患于未然!
原创声明:本文(不含图片)由文栋说自媒体网站原创,享有独立版权,如需转载敬请带上本段版权,本站对一切转载不保留版权的行为追究法律责任!
