朝鲜黑客对于攻击美国相关机构乐此不疲,这次瞄准美国国防和航空航天业。
新一轮攻击
迈克菲(McAfee)的安全专家发现,朝鲜黑客针对美国国防和航空航天业,发起了新的攻击活动。他们利用假的工作信息来欺骗求职者,并损害组织机构的网络。这个攻击行为被称为“北极星行动”,在2020年3月下旬至2020年5月期间十分活跃。
黑客发布的虚假职位信息主要针对特定的美国国防计划和团体:
- F-22战斗机计划
- 国防,太空与安全(DSS)
- 太空太阳能电池用光伏
- 航空综合战斗机集团
- 军用飞机现代化计划
研究人员注意到,这次攻击中使用的基础设施和TTP(技术,战术和程序)与朝鲜黑客组织HIDDEN COBRA的攻击方式一致。黑客用虚假的工作计划作为诱饵,向求职者发送诱导性的邮件。,此外,幕后的黑客正在利用多个欧洲国家的受损基础架构来托管其C2基础架构,并将恶意软件发送给目标。
值得注意的是,这次攻击涉及的TTP,也与2017年和2019年针对关键军事和国防技术的攻击活动相似。
分析表明,今年的攻击活动目的之一,是在受害者的机器上安装数据收集注入器。这些DLL注入器可以从受害者的机器中收集基本信息,以便识别受害者。有报告称,从目标机器收集的数据,有助于对目标价值进行分类。 McAfee ATR注意到,在2020年的竞选活动中,攻击者也使用了几种不同类型的注入器。不过,由于冠状病毒的持续影响,这项攻击的具体影响目前尚未可知。
持续攻击欧美的朝鲜黑客
近几年,随着两国关系降温,朝鲜黑客对于美国相关机构或企业的攻击已成为常态。2017年,朝鲜黑客疑似针对美国国防承包商加大攻击力度,试图获取目标公司知识产权,包括部署在朝鲜半岛的武器系统。2018年,美国联邦调查局和国土安全部专门联合发布了一份技术警报,详细介绍了朝鲜政府黑客组织Hidden Cobra正在使用两款最新发现的恶意软件。
此外,除了与美国的暗中较量,朝鲜也曾对欧洲的航空和军队发起攻击。今年6月,朝鲜的Lazarus 黑客组织被指利用 LinkedIn 攻击欧洲航空公司和军队企业攻击者伪装成工作面试流程的一部分,将声称包含公司和岗位其它信息的文件发给受害者,而实际上这些文档中包含遭恶意软件的文件,可导致攻击者侵入受害者的计算机。