以色列表示,他们挫败了与朝鲜有关联的黑客组织Lazarus对其国防工业的攻击,但研究人员表示,机密数据可能被窃取

2020-08-13 21:03:18

特拉维夫-以色列周三声称,它挫败了一个与朝鲜有关联的黑客组织对其机密国防工业的网络攻击。

国防部表示,攻击是“实时”转移的,其计算机系统没有受到“伤害或破坏”。

然而,最先曝光此次攻击的国际网络安全公司ClearSky的安全研究人员表示,朝鲜黑客侵入了计算机系统,很可能窃取了大量机密数据。以色列官员担心这些数据可能会与朝鲜的盟友伊朗共享。

这起事件将以色列添加到朝鲜黑客部门的目标国家和公司名单中,该部门被私人安全分析师称为拉撒路集团(Lazarus Group)。美国和以色列官员表示,拉撒路集团(Lazarus Group),也被称为隐藏的眼镜蛇(Hidden Cobra),得到了平壤的支持。

美国联邦检察官在2018年的刑事起诉书中揭露了拉撒路集团(Lazarus Group)的朝鲜成员,起诉书称,该组织代表朝鲜军事情报部门Lab 110工作。

起诉书指控该组织在朝鲜2017年毁灭性的“想哭”(WannaCry)勒索软件攻击中发挥了作用,该攻击导致150个国家的30万台电脑瘫痪;2016年孟加拉国银行8100万美元的网络盗窃;以及2014年索尼影视娱乐公司(Sony Pictures Entertainment)遭受的严重网络攻击,导致高管电子邮件泄露,并摧毁了该公司三分之二以上的计算机服务器。据追踪该组织的美国和英国官员称,尽管该组织的记录好坏参半,但朝鲜日益壮大的6000多名黑客大军只会随着时间的推移变得更加老练和大胆。

在去年4月的一份报告中,国务院、国土安全部(Department Of Homeland Security)、财政部和联邦调查局(FBI)的官员指责朝鲜越来越多地使用数字手段来逃避制裁,为其核武器项目赚取收入。该报告还指责朝鲜将其黑客买通给其他网络罪犯和国家,这就是所谓的“受雇黑客行为”。

一名以色列安全官员表示,人们担心被盗数据不仅会被朝鲜使用,还会被伊朗使用。

近几个月来,以色列一直在与伊朗进行不断升级的网络冲突。以色列表示,它在4月份挫败了对其供水基础设施的网络攻击,官员们表示,这次攻击的目的是将氯提高到危险的水平,因为以色列人与冠状病毒一起被隔离在家里。

指责伊朗的以色列在两周后进行了报复,在5月初对伊朗一个港口发动网络攻击,导致其电脑下线,并在伊朗沙希德·拉贾伊(Shahid Rajaee)港口设施周围造成长达数英里的航运交通。

ClearSky的研究人员说,朝鲜对以色列国防工业的攻击始于去年6月在LinkedIn上的一条消息。伪装成波音猎头的朝鲜黑客向一家以色列政府所有的公司的一名高级工程师发送了一条信息,该公司为以色列军方和情报部门制造武器。

黑客为猎头达娜·洛普(Dana Lopp)创建了一个假的LinkedIn个人资料。确实有一位真正的洛普女士,她是波音公司的高级人事招聘人员。周三,她没有回复消息。

洛普是朝鲜黑客在LinkedIn上模仿的几家知名国防和航空航天公司的猎头公司之一,这些公司包括波音公司(Boeing)、麦克唐奈·道格拉斯公司(McDonnell Douglas)和BAE系统公司(BAE Systems)。

在与以色列目标建立联系后,黑客要求提供电子邮件地址或电话号码,以便通过WhatsApp联系,或者为了增加可信度,建议切换到现场通话。一些接到电话的人,ClearSky后来联系到了他们,他们说对方说的英语没有口音,听起来很可信。

研究人员说,拉撒路以前从未展示过这种水平的复杂程度。以色列官员周三猜测,朝鲜可能将部分业务外包给了在国外以英语为母语的人。

在某个时候,黑客要求向他们的目标发送一份工作要求清单。该文件包含隐形间谍软件,它渗透到该雇员的个人电脑中,并试图爬入以色列的机密网络。

克利尔斯基说,今年初开始的这些攻击,“根据我们的评估,成功地感染了以色列和全球的数十家公司和组织”。

与朝鲜去年试图侵入以色列国防工业的尝试相比,这次黑客行动是一个引人注目的进步。2019年,ClearSky报道了Lazarus通过发送可能是用电子翻译写的断断续续的希伯来语的电子邮件,试图侵入一家以色列国防公司的电脑,这一努力有些笨拙。这些电子邮件立即引起怀疑,攻击被阻止。

朝鲜黑客似乎吸取了教训,2019年年中开始使用LinkedIn和WhatsApp与西方多个军工企业建立联系,攻击欧洲和中东的航空航天和防务公司。今年8月,联合国的一份报告称,朝鲜黑客使用了类似的方法追踪该组织和成员国的官员。

ClearSky的首席执行官兼所有者博阿兹·多列夫(Boaz Dolev)表示,在这些报道之后,该公司开始看到有人试图攻击以色列的国防公司。它很快发现了Lazarus给以色列国防公司员工的假LinkedIn个人资料和消息。

Clearsky研究人员发现,在至少两个案例中,朝鲜黑客在以色列网络上安装了黑客工具。该工具名为远程访问特洛伊木马,朝鲜黑客此前曾在针对土耳其银行和其他受害者的网络攻击中使用过,窃取密码和其他数据。

研究人员说,这次成功的安装是一个危险信号,表明朝鲜比官员们透露的更深入以色列的网络。

多列夫说,“朝鲜的Lazarus再次证明了它在社会工程和黑客方法方面的高能力和独创性。”

他说,企业安全变得越好,越多的民族国家和网络罪犯将试图通过社交媒体和电子邮件钓鱼攻击来攻击员工个人。

“攻击者总是寻找新的漏洞,”他说。防御越好,“针对员工、他们的家人和家用计算设备的攻击就会越多。”