朝鲜疑似对土耳其发动网络攻击，为金融盗窃踩点

源济

网络研究机构McAfee发布报告称，疑似来自朝鲜的黑客在3月2日和3日对土耳其金融机构和一个政府组织发动了攻击，试图获取情报为未来的网络盗窃铺路。

土耳其伊斯坦布尔的商务金融区 图片来源：OSMAN ORSAL/REUTERS
TIMOTHY W. MARTIN
华尔街日报  2018年 03月 09日 10:33

根据一份最新报告，疑似来自朝鲜的黑客上周对土耳其金融机构和一个政府组织发动了攻击，试图获取情报为未来的网络盗窃铺路。

网络研究机构McAfee LLC在周四的报告中披露了这一发生在3月2日和3日的网络攻击，称此轮攻击试图利用虚假链接引诱目标登录一个常用的加密货币平台，黑客进而能够盗取被瞄准计算机网络的敏感信息。该报告未指明遭到攻击的实体。没有资金被盗取。

McAfee首席科学家Raj Samani表示，这是金融盗窃的前兆，这些黑客是在预先踩点。

据网络安全专家称，随着过去一年针对朝鲜的经济制裁力度加大，该国的网络攻击正日渐以获取金融利益为目的。去年，朝鲜涉嫌对韩国加密货币交易所发动数字攻击，而其最近的攻击目标大到跨国银行小到自动取款机。

这次土耳其金融机构被入侵的不同寻常之处在于，黑客非常迅速地利用Adobe Flash不久前暴露的一个漏洞编写了软件，利用该程序向受害者电脑植入恶意软件。另一个不寻常之处是，McAfee的研究人员迅速地发现了这一行动。

McAfee的政策是不正式将国家级网络单位宣布为罪魁祸首。不过，McAfee周四的报告表示，上述恶意软件的代码和一个与朝鲜有关联的黑客组织在网络攻击中所用代码非常相似。许多网络研究人员称这个黑客组织为Lazarus。该黑客组织被认为实施了去年的WannaCry勒索软件攻击及2014年索尼影视娱乐有限公司(Sony Pictures)的入侵事件。

McAfee称，上周的网络攻击影响了土耳其的大量电脑，而且一些初步迹象也显示，欧洲更多金融机构的电脑被感染。McAfee将这起攻击称为Bankshot植入，该恶意软件被植入一个会令电脑感染的文件。

此次对土耳其的网络攻击依靠的是去年首次出现、但最近几周出现“变异”的恶意软件。McAfee称，这些恶意文件利用钓鱼电子邮件进行传播，这些邮件附有伪装成比特币发行协议模板的微软Word文档。

为了诱骗土耳其目标打开这个附件，黑客用一个带有falcancoin.io域名的账户发送电子邮件；falcancoin.io看上去与领先的加密货币借贷平台Falcon Coin的网址十分相似。

当收到这封电子邮件的电脑用户下载该文件后，恶意软件就植入电脑，黑客就可以远程进入该用户电脑，上传或下载文件，甚至操控内部系统，从而可能进行金融盗窃。

该微软Word文档内嵌一个利用了某个漏洞的Adobe Flash文件﹐几周前针对该漏洞的软件补丁已发布。攻击者赌的是用户还未下载该软件更新。

McAfee的Samani表示﹐此次攻击显示出此类软件漏洞的武器化特征。

一旦攻击者掌握了权限﹐他们还能窃取组织的内部信息﹐用于掩饰随后的攻击。McAfee高级首席工程师Christiaan Beek表示﹐连打印机名称这么看似无害的东西都可能被利用：收件人可能更容易信任包含其办公室打印机名称的电子邮件附件。