硬盘清除恶意软件袭击韩国与军事间谍有关

日期:2018-06-19 浏览:6

研究人员说,应对三月份恶意软件攻击负责的黑客,同时从数以万计的韩国电脑上清除数据,属于同一间谍组织,四年来一直以韩国和美国的军事机密为目标。

安全公司McAfee最近发表的一份研究报告中的结论令人惊讶。网络间谍活动背后的大多数组织竭力保持隐蔽,以确保他们的高级持久威胁( APT )能够吸取尽可能多的敏感数据。相比之下,黑暗的首尔攻击因其协调引爆而引起了人们的极大关注。韩国政府和媒体网络3月20日下午2时正遭到袭击,影响到互联网和移动银行应用程序,同时自动取款机离线。迄今为止,研究人员推测,袭击背后的不明组织主要是出于造成破坏的目的。

事实上,黑暗的首尔只是特洛伊行动的一个组成部分,这个针对军事组织的长期间谍活动至少可以追溯到2009年。秘密行动的名字来自于攻击者开发的恶意软件中发现的古城。恶意软件利用复杂的控制网络通过Web和Internet中继聊天连接传送信息,这些连接是用强加密技术保护的。安装在受损目标机器上的远程访问工具有条不紊地搜索军事术语,只下载被认为重要的文档。恶意软件最初是在攻击者在一个军事社交网站上植入一个以前未记录的零天漏洞后被控制的。这种技术被称为“水穴式攻击”,因为它试图在攻击者希望感染的人经常出没的地点种植“驾车型攻击”(类似于猎人喝水时瞄准猎物)。

McAfee研究人员赖安·谢斯托比托夫、伊塔伊·巴丽和詹姆斯·沃尔特写道,McAfee实验室可以将黑暗的首尔和其他政府攻击与一项秘密的长期行动联系起来,这项行动揭示了黑暗的首尔对手的真实意图:试图侦察和破坏南韩的军事和政府活动。攻击者自2009年以来一直试图安装使用MBR擦拭器组件销毁目标的能力,如黑暗的首尔事件所示。根据我们的分析,特洛伊行动从一开始就把重点放在收集南韩军事目标的情报上。我们还将多年来针对韩国的其他高调公开宣传活动与特洛伊行动联系起来,暗示由一个团体负责。

这两次攻击有关联的迹象之一是黑暗首尔用来破坏受感染机器主引导记录( MBR )的代码。这一功能还存在于Troy操作活动中使用的远程访问特洛伊木马中,用于从显示正在进行消毒的受损计算机上擦除数据。通过永久关闭这些机器,攻击者向对手隐藏他们的战役的可能性要大得多。这两次活动中使用的恶意软件并不完全相同,但McAfee报告说,有足够的相似性,不同的样本必须由同一组产生。

同样重要的是,在首尔黑暗中使用的wiper恶意软件是在韩国政府机构和媒体机构的数万台机器上执行之前几小时编译的。时机表明,目标计算机已提前数天、数周甚至数月被感染,因为不可能在如此短的时间内有如此多的计算机被感染和销毁。据BBC报道,“特洛伊恶意软件行动”搜索的术语包括“战术”、“旅”、“后勤”、“行动关键解决方案”。最后一句是指每年都有美韩部队参加的军事演习。报告没有指出特洛伊行动的负责人或被感染的南韩政府特定网络。

清除首尔黑暗恶意软件的原因尚不清楚。汇编数据显示,这是故意而非偶然的。这种破坏性有效载荷的激活引发了迈克菲调查,最终导致了有关特洛伊行动的新报告。如果该运动背后的组织希望掩盖其踪迹,那么它一致摧毁数以万计的机器所引发的喧嚣可能只是引起了人们对先前在很大程度上被忽视的间谍活动的关注。