本周,网络安全公司McAfee发布了有关名为“Operation GhostSecret”的全球黑客活动细节的报告。报告显示,与朝鲜政府相关的黑客组织Hidden Cobra在泰国使用服务器进行大规模网络间谍活动与恶意软件攻击。
McAfee研究人员表示,Hidden Cobra今年3月14日至18日对土耳其金融机构的攻击只是行动的一部分,最终攻击范围跨越了17个国家,包括泰国、美国、德国、日本、中国和澳大利亚。这一系列黑客活动的目的是窃取全球关键基础设施(如电信、金融、医疗、娱乐组织)的重要数据信息。经分析,Operation GhostSecret活动非常复杂,利用了大量植入程序从受感染系统中窃取信息,而且设计错综繁复,以逃避侦查和欺骗法医调查人员。
另外,McAfee公司调查时发现,植入程序包括具有类似于Bankshot功能的未知植入程序,这个新的变体类似于2014年黑客攻击索尼影业活动中使用的部分Destover恶意软件。除此之外Hidden Cobra也被认为在去年五月进行了Wanna Cry恶意软件攻击,该攻击带来的瘫痪影响遍布全球。
与此同时,周三泰国的计算机紧急响应小组(ThaiCERT)宣布已查获黑客活动使用的服务器,并已将其移交给执法机构。据悉,这台服务器位于泰国曼谷的泰国国立法政大学。该实体托管了索尼影视植入程序的控制服务器。自从索尼影视被攻击以来,这个SSL证书已被用于隐藏眼镜蛇行动。分析此证书可以揭示附加的控制服务器使用相同的PolarSSL证书。通过对McAfee遥测数据的进一步分析,他们找出了几个活跃的IP地址,其中两个IP地址与2018年类似Destover的植入物位于同一网段内。
目前McAfee公司正在与泰国政府当局合作,取消”Operation GhostSecret“的控制服务器基础设施,同时保留涉及的系统,供执法机关进一步分析。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
