很多报道认为,针对平昌冬奥会的袭击事件源自朝鲜或者俄罗斯,因为在相关的软件中研究人员发现了只有朝鲜黑客曾经用过的代码片段。但卡巴斯基实验室的新研究表明,那些代码是故意留在那里的,为的是隐藏自己的踪迹。或许研究人员们需要重新分析一下他们的溯源方法了。
卡巴斯基全球研究和分析团队负责人Vitaly Kamluk周四在墨西哥坎昆举行的网络安全会议上表示:“攻击者变得越来越聪明,他们知道去伪造一些假的线索。”
要采取措施之前研究人员首先要找到攻击的发起者。但这个过程往往很艰辛,2017年勒索软件WannaCry勒索软件用到了NSA的黑客工具,但我们不能断定美国政府是背后的黑手。大约8个月之前,白宫才敢宣布俄罗斯发起了“NotPetya”攻击,并把它称为“历史上最具破坏性的网络攻击”。
Kamluk说,研究人员仍在努力寻找谁发动了冬奥会的黑客攻击,但他指出,那些来自朝鲜Lazarus黑客组织的代码是伪造的。
卡巴斯基实验室的研究人员在查看恶意软件的“Rich Header”部分发现了伪造的迹象,该部分代码在大多数可执行Windows文件中。他们发现Rich Header与以前的Lazarus Group攻击不一致。卡巴斯基研究员Igor Soumenkov说,这些代码是复制黏贴的。
“我们已经找到了证据证明这些百分之百是伪造的,目的是混淆公众,”Kamluk说。
除了Lazurus组织的伪造特征外外,其他一些俄罗斯相关的黑客组织如Sofacy(也被称为Fancy Bear和APT28)也牵连到这次袭击中。其他国家的黑客组织如APT3(Gothic Panda),APT10(MenuPass Group)和APT12(IXESHE)也有特征代码涉及其中。
卡巴斯基实验室的研究小组表示,他们预计这种伪造的情况会继续出现在未来的攻击中,因此在追溯攻击时需要小心谨慎。
“这起事件证明那些国家支持的黑客们已经知道怎么跟研究人员做游戏了,他们想要研究人员犯错(从而误导公众)。”
越来越聪明的黑客
不过小编发现,这几个来自俄罗斯的研究员没有完全帮自己的国家洗清嫌疑。
之前The Post报道说,俄罗斯GRU军事情报机构在2月初设法控制了300台与奥林匹克组织有关的电脑。华盛顿邮报(WP)报道,美国情报官员确信,上述网络攻击背后的黑客是俄罗斯人,他们以奥运网络基础设施为目标,并将朝鲜定为罪魁祸首。分析人士猜测认为,俄罗斯运动员在此次冬奥会遭到禁赛是黑客攻击的主要原因。
卡巴斯基研究员们的研究似乎跟“攻击来自俄罗斯”这一结论并不冲突。但可以肯定的一点是,黑客们现在越来越聪明,真相不再只停留在表面,或许研究人员们需要重新分析一下他们的溯源方法了。
* 参考来源:Cnet,作者Sphinx,转载注明来自Freebuf.COM
来源:freebuf.com 2018-03-14 09:00:41 by: Sphinx
请登录后发表评论
注册