安全研究人員分析了來自與朝鮮有關聯的威脅分子的惡意軟件樣本,結果發現了與早期來源不詳的攻擊活動所使用的工具有瓜葛。
這項研究為期數月,將各種攻擊活動(從網絡間諜活動到以牟利為動機的活動)聯繫了起來。研究人員分析的活動及攻擊時間表如下圖所示。
其中大多數活動的矛頭似乎指向了朝鮮兩個臭名昭著的黑客團伙中的一個:Unit 180或Unit 121。
據邁克菲公司向IT外媒BleepingComputer透露的一份報告顯示,Unit 180專注於通過黑客手段為朝鮮牟利,Unit 121則以民族主義大旗為幌子,包括為其他組織提供工具和惡意軟件、監視其他國家以及破壞他國的行動和軍事目標。
在尋找歸咎於朝鮮的樣本中的代碼相似之處時,邁克菲和Intezer的安全專家發現了2009年到2017年使用的工具中共享的獨特代碼。他們製作了一張地圖,基於不同攻擊活動重複使用的代碼,列出了多個惡意軟件系列之間的關係。
DarkSeoul(2012年)、“重磅炸彈行動”(2014年索尼影業攻擊)、NukeSpeed後門、特洛伊行動(2009年至2013年的軍事間諜活動)之間似乎存在著密切的聯繫。這些聯繫之前已在一個聯盟撰寫的一份報告中予以披露,該聯盟由多家安全公司組成,它們調查了對索尼影業攻擊負責的Lazarus組織的活動。
該地圖還將去年5月肆虐全球的WannaCry勒索軟件與Jaku聯繫起來,Jaku這種工具用於有針對性的跟蹤和數據洩露,偽裝成殭屍網絡惡意軟件來運行。
使用Intezer的代碼分析引擎,該引擎可將代碼分解成很小的“基因”,然後這些小代碼可以用來將一個樣本的“DNA”與其他惡意軟件樣本進行比較。報告表明,從2009年到2017年的諸多惡意軟件使用了一個共同的SMB模塊。
研究人員在報告中寫道:“第一個代碼示例出現在2017年WannaCry的服務器消息塊(SMB)模塊、2009年的Mydoom以及Joanap和DeltaAlfa。這些惡意軟件系列進一步共享的代碼是來自CodeProject的AES庫。這些攻擊已歸咎於Lazarus;這意味著該黑客組織至少在2009年至2017年重複使用了代碼。”
在另一個例子中,研究人員注意到2013年披露的Operation Troy活動與一年後披露的Darkhotel活動之間存在代碼重疊。兩者都是網絡間諜活動,前者側重於軍事間諜活動,而後者針對眾多垂直行業的公司的重要人物。
真相進一步被披露,表明了代碼DNA在用於專門攻擊韓國製造業的後門、“重磅炸彈行動”和引起嚴重破壞的WannaCry版本所使用的實用程序中有很大的百分比。這些相似之處也為更準確地描述Lazarus組織的運作規模奠定了基礎。一些聯繫比其他聯繫來得弱,但建立聯繫只考慮了獨特的代碼,忽視了通用的代碼和庫。
如果說無可否認的證據表明即使對其中一個惡意軟件系列或黑客工具來說也與朝鮮有聯繫,那麼代碼DNA暴露了不法分子的整個武器庫,或至少暴露了其武器庫的很大一部分。像這樣的工作肯定有助於跟蹤對手的演變過程。
閱讀更多 申啟加密軟件 的文章
