美国司法部宣布了朝鲜黑客使用的僵尸网络细节

大熊超人 2019-02-04

最近,美国司法部宣布了一个代号为Cobra的高级黑客组织,技术媒体经常将其称为Lazarus。 Lazarus已经感染了世界各地的许多PC,并在过去几年中发起了对企业的攻击,包括Sony Pictures和孟加拉国家银行。 Lazarus也被认为是朝鲜支持的高级持续威胁(APT)组织,而WannaCry勒索软件也来自该组织。

在调查消息来源之后,美国司法部发现Lazarus组织可以追溯到2009年,当时有一个名为Joanap的远程访问工具。该工具主要分布在SMB文件共享蠕虫中,这会强制SMB服务打开并继续感染其他计算机。蠕虫首先被感染,然后加载Joanap远程访问工具,以便Lazarus组织的成员可以在需要时直接连接。

美国司法部宣布了朝鲜黑客使用的僵尸网络细节

主要由Joanap组成的僵尸网络不使用远程服务器,而是使用P2P对等通信作为服务器和传输指令。因此,所有受感染的计算机都将成为控制服务器的一部分,接受黑客控制并继续将其他计算机感染为节点。为了进行彻底调查,美国联邦调查局和空军特别调查办公室获得了法院命令,允许这些机构积极加入僵尸网络。

事实上,该病毒已被防病毒软件阻止,但许多未安装防病毒软件的用户将无意中感染病毒。在此调查中,美国司法部收集了感染Joanap的计算机信息,包括连接的IP地址,端口号和时间戳信息。利用此信息,可以创建僵尸网络的地图,并且美国司法部将此信息提供给操作员,以便操作员通知用户。除美国外,美国司法部还与其他国家共享感染数据,以通知美国境外的受害者尽快清除僵尸网络。