俄罗斯电脑安全公司卡巴斯基实验室(Kaspersky Lab)日前发表长达58页的报告,指著名黑客组织 Lazarus 与朝鲜存在关联,而 Lazarus 涉嫌在名为 Bluenoroff 的行动中,对18个国家的银行、贸易公司、赌场和数字货币机构发动网络攻击。这是外界首次公开指证 Lazarus 与朝鲜的直接联系。两名国际安全专家表示,失窃资金极有可能被用于发展朝鲜核武器。
Lazarus 从2009年起活跃,曾涉嫌在去年入侵孟加拉国央行在纽约联邦储备银行的账户,成功转移1.01亿美元外储。外界一直质疑朝鲜与2016年孟加拉国央行失窃案有关,卡巴斯基的报告似乎让相关证据进一步明朗。就在上月,美国官员也曾公开质疑朝鲜在孟加拉国央行失窃案中所起的作用。
如果那是真的,这意味着朝鲜正在抢劫银行。这是桩大生意。
根据卡巴斯基的报告,为隐藏攻击来源,Lazarus 的黑客曾将服务器设置在法国、韩国、台湾,但卡巴斯基成功捕捉到与 Lazarus 黑客有关的欧洲服务器和一处朝鲜 IP 有过一次直接联系。不过卡巴斯基研究员 Vitaly Kamluk 表示,目前尚未能认定这些攻击是由朝鲜主使,因为黑客组织有可能是刻意使他们的行动看上去来自朝鲜。
尽管缺乏直接证据,但 Lazarus 曾多次被外界怀疑与朝鲜政府有关。2013年三间韩国电视台和一间韩国银行的电脑终端因网络攻击出现瘫痪,2014年索尼影业(Sony Pictures)因发行电影《刺杀金正恩》(The Interview)而遭黑客入侵,韩国和美国情报部门曾先后谴责朝鲜主导相关事件,而线索显示这两宗黑客攻击事件都与 Lazarus 有关。
2015年后期,Lazarus 开始将主要攻击目标转向国际金融机构,目前已知最早的受害方是越南商业银行。英国军火企业 BAE Systems 的研究还指出,近期 Lazarus 曾攻击波兰金融监管机构。
目前,外界认定由 Lazarus 发动的黑客行动共有4宗,针对的是孟加拉国、厄瓜多尔、菲律宾和越南。但根据卡巴斯基的报告,Lazarus 还曾对哥斯达黎加、埃塞俄比亚、加蓬、印度、印尼、伊拉克、肯尼亚、马来西亚、尼日利亚、波兰、台湾、泰国、乌拉圭的金融机构发起攻击。卡巴斯基表示,其杀毒软件曾成功阻挠多宗来自 Lazarus 的攻击,目前尚不清楚哪些银行受到影响。
美国网络安全公司 Symantec 曾在今年稍早时候就朝鲜的黑客行动发布警告。Symantec 研究员 Eric Chien 表示,代码显示 Lazarus 的黑客列出了包括150个互联网地址的“攻击名单”;CNN 在检测这些地址后发现,攻击目标包括巴西、智力、墨西哥、委内瑞拉和爱沙尼亚的央行。盗窃资金的黑客行动大多并未成功,只有少量顺利完成。
卡巴斯基是全球最大的电脑安全公司之一,除了提供杀毒软件,也曾数次曝光黑客行动。不过,美国政府一直质疑卡巴斯基与俄罗斯政府的关联,但卡巴斯基对此坚决否认。