韩国警方发现,朝鲜黑客组织Lazarus、Andariel、Kimsuky为窃取韩国军工技术,携手对韩国军工企业实施全方位网络攻击。警方表示,黑客组织不仅攻击军工企业,还迂回攻击军工合作、外包企业,攻击方式也多种多样。
警察厅国家调查本部22日表示,已确认朝鲜黑客组织Lazarus、Andariel、Kimsuky对国内10多家军工企业实施网络攻击。据了解,朝鲜黑客组织主要直接攻击军工企业,同时也迂回攻击安全措施相对薄弱的军工合作、外包企业,由此盗取军工企业服务器账号信息,再渗透主要服务器植入恶意代码。警方以IP地址、中转站构筑方法、恶意代码种类等为依据,判断此次攻击是朝鲜黑客组织所为。
部分企业一直到今年1月开始进行特别检查之前,并没有发现遭到黑客攻击,因此有人提出,朝鲜的技术窃取可能持续了很长一段时间。警方掌握的朝鲜技术窃取时间为2022年10月、11月、2023年4~7月。警方表示,只能推测出数据是在什么时候被窃取的,很难确定黑客实施攻击的时间。警方相关人士表示,调查开始之前,恶意代码仍然存在。我们可能只掌握了冰山的一角。
朝鲜黑客组织不仅攻击军工企业,还攻击军工合作、外包企业等,攻击方式多种多样。调查显示,Lazarus首先袭击A公司外网服务器并植入恶意代码之后入侵内网。通过这种方式,Lazarus将A公司开发团队职员六台电脑中的重要资料传输到了国外云端。
主要窃取军事技术的Andariel窃取了对军工合作企业服务器进行维护工作的外包企业职员的naver、kakao等普通电子邮件账号。这是恶意利用了部分职员在普通电子邮件账户和公司内部业务账户中使用相同ID和密码的漏洞。朝鲜黑客组织中最有名的Kimsuky恶意利用军工合作企业的社内群件、电子邮件服务器的弱点窃取了资料。
警方相关人士表示,朝鲜黑客组织向来都有各自的分工,像此次为窃取韩国军工技术这一共同目标携手采取行动的情况尚属首次。据悉,Kimsuky主要瞄准的是政府机关和政治家、Lazarus主要瞄准金融机关、Andariel主要瞄准国防机关。警方表示,最近确认的韩国司法部门电算网被入侵的事件由Lazarus主导。
李智慧 记者
