今天的网络安全焦点新闻应该就是这条消息了。

当地时间9月6日,美国司法部向媒体公布了一份起诉书,指控名为Park Jin Hyok的一名朝鲜黑客,参与实施了包括2014年索尼影业攻击、2016年孟加拉国央行8100万美元惊天劫案、2017年WannaCry勒索病毒等一系列黑客攻击行动。同日,财政部也发布了新闻,宣布对这位黑客及其相关联的一家名为Chosun Expo的公司采取经济制裁措施。

起诉书称,Park Jin Hyok毕业于朝鲜一所大学,精通多种编程语言,在软件开发和不同操作系统的网络安全上有丰富经验。他极有可能服务于朝鲜情报机构人民军总参谋部侦察总局,隶属于旗下著名的“110号实验室”,也就是外界网络安全公司命名的APT组织“Lazarus Group”。2011年到2013年期间,他曾作为掩护阵地公司Chosun Expo Joint Venture的雇员在大连从事编程和信息安全工作。2014 年回国后在朝鲜人民军侦察总局命令下展开网络攻击。

起诉书称,Park除了参与上述攻击外,还参与攻击了美国国防承包商、大学机构、科技公司,电力公司和虚拟货币交易所。这些攻击行动覆盖范围广、手法类型多变、行动时间要求紧、技术要求各有特点,要说这么多黑客行动都完全是这同一位Park先生所为,贝爷我反正是不太信的;不过粗略来看,这份长达179页的起诉书提供的证据和分析过程较为合理的证明了这位Park先生至少与这些攻击难逃干系:Park先生应该是Lazarus这一系列攻击行动中的一位重要的参与者。起诉书提供的具体证据及分析方法,感兴趣的读者可以点击原文链接自行查看阅读学习,不做赘述,只讲三个要点:

一、对比之前公开材料披露的关于Lazarus的各种来源分析报告、美官方机构内部的评估结论,这份起诉书除了提供了更多更丰富的细节外,总体并没有给出任何新的观点结论。当然,这份材料里提供的各种分析细节对于有兴趣跟踪Lazarus Group的人可能会很有帮助,结合这些邮箱地址、域名,也许我们还能从公开的APT分析报道中找到更多的关联关系,从而更清晰的梳理出更多的关联。Twitter上的一位网络安全研究人员@cyberwar_15就已经根据一些邮箱找到了更多的线索,感兴趣的可自行跟踪。

二、起诉书的签署时间是三个月前的6月8日,这个时间点恰恰就在美朝领导人历史性会晤之前四天,猜想当时这份起诉材料应该是出于政治原因被压住了。这一次的公布,同样也是在金正恩计划与韩国领导人文在寅举行第三次首脑会晤前夕,这个时间点的巧合很难让人不认为是美方某些政治势力的刻意安排,借网络安全议题再次“敲打”朝方,试图在核问题上换取点筹码。当然,这也可能再次暗示了特朗普总统与网络安全政策及情报执法部门之间的嫌隙,毕竟就在几个小时前,总统先生还在Twitter上“感谢金正恩委员长”,盛赞其推动的无核化计划。

三、起诉书称作为朝鲜政府境外阵地机构的Chosun Expo公司,一方面为Park Jin Hyok等人从事黑客攻击提供便利条件,另一方面也安排Park Jin Hyok等人员大量从事IT软件外包等工作以赚取利润贴补攻击行动。起诉书中的材料也显示,FBI等调查机构通过其软件外包的客户,了解到很多关于这家公司情况。可以推测,FBI很有可能是通过这些人力信息渠道了解到关于这家公司、Park等人、以及网络攻击行动之间的可能线索。事实证明,想要马儿跑又想马儿不吃草,那是一定会出事的,嘿嘿嘿。

敏感内容太多,不多吐槽了,各位看官自行领会精神。

声明:本文来自APT观察,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。