朝鲜黑客的老巢隐藏在泰国大学中？McAfee 扒了一波做案细节

朝鲜黑客一直是世界各大安全公司的重点研究目标，2017年4月底，赛门铁克就曾发布过一个报告，认为朝鲜网络攻击集团对世界多国银行发动了攻击，并预测其窃取资金超过一千亿韩元（折合人民币6.13亿元）。

同时，还列出证据表明，朝鲜网络攻击的目标包括孟加拉国、越南、厄瓜多尔、波兰等国银行，目前已经从这些国家的银行盗窃了至少 9400 万美元。

一年之后，又一知名安全公司迈克菲（McAfee）也同样在4月底发布报告，再次挖出了朝鲜黑客的不少黑料。

McAfee 高级威胁研究团队指出，经过长期的跟踪研究，一项名为 Operation GhostSecret 的大型黑客活动疑似与朝鲜政府支持的黑客组织 Lazarus 有关，因为攻击中使用了与该组织有关的各种工具和恶意程序。

Lazarus 你是不是听着有些耳熟？没错，就是那个曾对索尼影业公司进行摧毁性攻击、从孟加拉央行盗取8100万美元、被认为是 WannaCry 的重要幕后黑手的黑客团伙。

研究人员最初以为， Operation GhostSecret 只是 3 月初发生在几个土耳其金融机构和政府组织的大规模网络攻击，但 McAfee 的报告显示，这个攻击实际上波及了 17 个国家。攻击者瞄准了关键基础设施、娱乐、金融、医疗保健和电信等多个行业，窃取业内敏感数据，目前依旧活跃。

这个判断并非是空穴来风的推测，而是有了实锤，这个实锤就是找到了黑客所用的服务器的藏身之地！

据外媒 SecurityAffairs 的消息，泰国当局在 ThaiCERT（相当于泰国的国家互联网应急响应中心）与迈克菲（McAfee）的协助下，找到了朝鲜 APT 组织 Hidden Cobra 使用的服务器。

泰国当局发现，这台服务器居然藏在一所泰国大学里，2014 年朝鲜黑客就借助这台服务器让索尼影业大量邮件和电影拷贝曝光。

在今年的 3 月 15 日至 19 日，美国、澳大利亚、日本和中国的服务器多次受到感染。泰国近 50 台服务器更是受到恶意软件的严重打击，是所有国家中受到攻击最严重的，也是出自这个服务器。

据悉，该服务器当年是 Hidden Cobra 发动 GhostSecret 攻击时的指挥和控制中枢。如果没有迈克菲专家在全球范围内的不懈分析与调查，这台服务器恐怕还安静的躺在泰国那所大学中。

我们对 GhostSecret 攻击的调查显示，黑客当时用了多个恶意软件进行植入，其中包括性能与 Bankshot 类似的软件。在 3 月 18 日到 26 日的调查中，我们发现恶意软件其实分布在全球多个地方，这种新型变种在许多地方都与恶意软件 Destover 类似，后者就是 2014 年让索尼营业元气大伤的罪魁祸首。

McAfee 在对控制服务器设施进行进一步调查后发现，与控制服务器203[.]131[.]222[.]83 捆绑的 SSL 证书 d0cb9b2d4809575e1bc1f4657e0eb56f307c7a76 在 2018 年 2 月的一次植入中也用到了，而这台服务器属于泰国法政大学。索尼影业被攻击后，Hidden Cobra 就一直在使用这一 SSL 证书。

▲泰国是 Destover 变种感染的重灾区

ThaiCERT 发布的一份安全公告指出，GhostSecret 攻击今年 2 月份重出江湖。迈克菲也发现了三个属于法政大学的 IP 地址（203.131.222.95、203.131.222.109、203.131.222.83），它们与攻击脱不了干系。

可怕的是，现在这场攻击还处在进行时。

迈克菲表示，GhostSecret 是一场全球范围的数据侦查项目，，攻击背后的黑客用上了多种植入物、工具和恶意软件变种，其手法与当年的 Hidden Cobra 如出一辙。

与此同时，McAfee 高级威胁研究团队还发现了一个未登记在案的植入物 Proxysvc，2017 年年中它就开始偷偷祸害别人了。

眼下，ThaiCERT 正联合当地政府与迈克菲分析这台服务器中的内容，不知它们是否还能挖出什么惊天大秘密。

宅客频道 Via. SecurityAffairs

雷锋网宅客频道招人了！

招聘岗位：

网络安全编辑（采编岗）

工作内容：

主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等；采访国内外网络安全研究人员，撰写原创报道，输出领域的深度观点；针对不同发布渠道，策划不同类型选题；参与打理宅客频道微信公众号等。

岗位要求：

对网络安全有兴趣，有相关知识储备或从业经历更佳；

科技媒体1-2年从业经验；

有独立采编和撰写原创报道的能力；

加分项：网感好，擅长新媒体写作、90后、英语好、自带段子手属性……

你将获得的是：

与国内外网络安全领域顶尖安全大牛聊人生的机会；

国内出差可能不新鲜了，我们还可以硅谷轮岗、国外出差（+顺便玩耍）；

你将体验各种前沿黑科技，掌握一手行业新闻、大小公司动向，甚至是黑客大大们的独家秘闻；

老司机编辑手把手带；

以及与你的能力相匹配的薪水。

坐标北京，简历投递至：liqin@leiphone.com

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 草榴社区 | 女鉴黄师 | 以图搜图 心脏滴血 | 撞库攻击 | 潜行追踪 刷票 | 人肉 | 勒索 | 内鬼 超级欺骗系统 真相篇 ▼ 战斗民族野生聊天 App 草榴社区这类色情网站为什么封不掉 什么样的漏洞买得起北京二环一套房？ 上了个“假”黄网，误入了7亿黑产的大门 13岁小黑客自学一年挖到了微软、谷歌的漏洞 中学教材现黄色网站 人教社回应遭网友质疑 干货！top白帽子 Gr36_ 手把手教你挖漏洞 我们可以用“免疫系统”对抗黑客入侵吗？ 这位叔叔要教勒索软件一些做人的道理 有个网站叫“我知道你下载了什么” 无线电攻击居然还能用来打飞机 “道哥”透露从业初心 人物篇 ▼ 道哥：重回阿里的29个月 黑客老王：一个人的黑客史 吴石：站在0和1之间的男人 黑客衰大：45天攻入姑娘的心 黑客段子手“呆子不开口” “特斯拉破解第一人”刘健皓 唐青昊：虚拟世界的越狱者 MOSEC：盘古团队的野心优雅 让周鸿祎“三顾茅庐” 的 黑客 MJ 美女黑客张婉桥的“爱丽丝奇遇记” TK教主和玄武实验室的几个小故事 把老婆训练成女黑客的漏洞大神黄正 “真爱”黑客 Fooying 手把手教你追妹子 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注