信息来源:E安全
据外媒报道,近日由韩国支持的间谍组织“黑暗旅馆”成为了利用秘密软件漏洞,对朝鲜实施间谍活动的头号嫌疑人。根据数据统计,在朝鲜,电脑的利用率还并不高,大多数朝鲜人很少利用电脑办公。但是,在过去的一年里,似乎有不少朝鲜人遭遇了严重的黑客攻击,对此一些研究人员怀疑这可能是韩国实施了一场复杂的间谍活动。
“黑暗旅馆”组织由来已久
据信,“黑暗酒店”的黑客至少从2007年就开始活跃了,但是卡巴斯基在2014年才开始给该组织起名字。因为研究人员发现该组织最初是在破坏酒店的Wi-Fi网络,根据房间号码对特定的酒店客人进行针对性很强的攻击,因此给他们起了这个名字。研究人员表示,“黑暗旅馆”长期以来一直对朝鲜和中国的关键用户进行黑客攻击,尤其是发起相关间谍活动,入侵者从这些目标中获取他们感兴趣的文件、电子邮件和重要研究数据等。“黑暗旅馆”被广泛怀疑是由韩国政府掌控的,因此研究人员暂时将“黑暗旅馆”的可疑赞助者命名为韩国。
近期,谷歌威胁分析小组的网络安全研究人员透露称,一组不知名的黑客在2019年期间利用了至少5个零日软件漏洞,黑客通过这些零日漏洞来破解电脑系统防线,以此攻击和监控朝鲜相关行业专家和研究人员的电脑信息。黑客利用Explorer、Chrome和Windows的漏洞,发送带有恶意附件或链接到恶意网站的钓鱼邮件,还有所谓的“水坑攻击”(waterhole attack),当受害者访问某些网站时,他们的电脑上就会被植入恶意软件。但是,谷歌拒绝就谁应该对此攻击负责发表评论。对此,俄罗斯安全公司卡巴斯基告诉相关外媒杂志,他们已将谷歌的发现与“黑暗旅馆”的行动联系起来,“黑暗旅馆”在过去曾被怀疑为韩国政府工作,将朝鲜用户作为目标。
同时,研究员观察到韩国针对朝鲜发起攻击的大部分目标,都与和朝鲜相关军事政治行业有关。在对一个跟踪邮件进行分析后,谷歌表示虽然此类攻击的受害者不局限于朝鲜,但朝鲜政权依旧还是最主要的目标。在谷歌将零日漏洞与针对朝鲜攻击联系起来的几个小时后,卡巴斯基的研究人员就已经将Windows中和Internet explorer中的两个漏洞与“黑暗旅馆”的那些攻击特征联系起来,尝试推进漏洞的特征匹配分析。
复杂并极具难度的攻击方式
相关专家表示,对于韩国而言,监视朝鲜,窃取朝鲜的重要行业信息并不让人意外,因为韩国和朝鲜的关系一直非常紧张。但是,韩国可以在一年内五次利用零日漏洞进行入侵行动着实令人惊讶,毕竟这种攻击具有一定复杂性,还对资源获取能力有一定要求。对此,谷歌网络安全公司研究员Toni Gidwani在该公司的博客中表示,在相对较短的时间内,能够从同一目标对象上发现这么多零日漏洞非常罕见。
仅仅在过去的三年里,卡巴斯基发现“黑暗旅馆”使用了三个零日漏洞,而根据谷歌现在的博客文章,该组织在一年内就利用了五个零日漏洞。而且,卡巴斯基研究人员表示这些攻击者似乎是在内部完成所有入侵工作的,而不是使用其他来源的代码,这说明他们的技术水平很高,该组织很可能是世界上最足智多谋的黑客组织之一。
据悉,卡巴斯基的研究人员此前就曾发现这些类似漏洞,利用它们在客户的电脑上植入已知的“黑暗酒店”(DarkHotel)恶意软件。卡巴斯基全球研究与分析团队的负责人科斯汀·拉尤(Costin Raiu)表示,darkhotel.com有关的攻击行为发生在微软修补其漏洞之前,这表明darkhotel.com不仅仅是在重复利用同一个漏洞,因此,谷歌将被发现的5个零日漏洞都归为该黑客组织所有。
美国国家安全局黑客和攻击安全会议的创始人 Dave Aitel对此表示,目前谷歌发现的大多数零日漏洞和朝鲜攻击都存在与Internet Explorer中,黑客用了创造性的方式来使用这些漏洞,并在微软的浏览器代码中入侵受害者使用的软件系统。
据悉,在微软的一份Office文档中发现了一个Internet Explorer漏洞,该漏洞仅仅是调用web浏览器代码就启动了嵌入文档中的在线视频。此外,在另一个案例中,黑客修改并利用了IE沙盒中的一个漏洞,就绕过了FireFox沙盒的安全特性检测,可以将浏览器中的代码与计算机中的其他部分隔离开来。Aitel表示,这个组织的黑客能够利用这些漏洞进行工程设计,使之适合他们自己的框架,这真的展现了他们操作上的高水平。同时,Aitel指出,针对该组织的复杂程度应该提醒那些在防御黑客资源方面被视为“二线”的国家,即除了俄罗斯、中国和美国以外的那些国家。由于部分国家和用户低估了该组织带来的风险,才为这些组织提供了越来越多的入侵机会。