根据一项新研究,与朝鲜政府有关的臭名昭著的黑客组织Lazarus Group攻击了一家以色列国防公司,这是该组织第一次攻击以色列实体组织。
根据揭露该行动的网络安全公司ClearSky的说法,这家未透露名称的公司生产用于军事和航空航天业的产品,并且黑客本可以窃取商业机密或进行更传统的间谍活动。
ClearSky的威胁情报负责人Eyal Sela表示他们无法确定攻击者的目标是什么,此次攻击可能是工业/商业间谍活动,但也可能是军事间谍活动。
朝鲜统治者金正恩制定了雄心勃勃的经济目标,一些网络安全分析师预测他将释放平壤黑客窃取跨国公司的商业秘密来实现这些目标。这些新增加的攻击目标(包括以色列国防公司)符合平壤将黑客转变为任何能为朝鲜利益服务的组织的一贯特色。
根据ClearSky的说法,以色列国防公司的一名员工于3月7日收到一封破损的希伯来语电子邮件,该邮件由以色列国防公司的另一名员工发送,其中账号可能已被感染。这封破损的希伯来语邮件揭开了此次攻击活动的面纱。
LazarusGroup至少活跃于2009年,它被指发动多起高级别攻击,其中包括2014年攻击索尼影业;且据悉它跟最近发生的“想哭”勒索软件攻击之间存在关联。美国政府将该组织称为“隐匿的眼镜蛇”,安全企业认为它发动了多起攻击活动如“炸弹行动”、“黑暗首尔”和“特洛伊行动”。由于数字线索中包含Rising Sun恶意植入物,而目前普遍认为Rising Sun属于Lazarus Group,所以研究人员认为此次活动也由Lazarus Group发起。
虽然ClearSky认为Lazarus Group是该活动的幕后推手,但研究人员表示这种推测仅基于技术证据,因此无法排除其它组织打着Lazarus Group的旗号行事,所以希望其它专家帮助检测和分析此次恶意活动。
以色列报纸Haaretz率先报道了这项研究。
卡巴斯基以色列实验室研究员Ido Naor表示,分析黑客使用的源代码表明其启用了韩语设置,恶意附件能规避公司的电子邮件过滤保护。
根据ClearSky的说法,Lazarus Group成员希望利用WinRAR文件存档软件中的漏洞,该漏洞自披露以来一直在被黑客利用。