圖片來源: 

Kaspersky

安全研究人員指出,2014年11月底攻擊索尼影業(Sony Pictures)的駭客不但活動時間回溯到2009年,而且現在還在活動當中,涉及台灣、中國、日本及印度的攻擊。
 
2014年11月索尼影業遭到自稱為Guardians of Peace(GoP)的駭客集團入侵並部署毀滅性的惡意程式,摧毀索尼的系統、竊取大量資訊,隨後威脅Sony及其員工及電影院。當時美國FBI咬定是北韓政府所為,目的是為了阻止描寫刺殺北韓領袖金正恩的喜劇片《名嘴出任務》(The Interview)的上映。不過此事後來沒有結論,而駭客集團似乎也就這麼消失了。
 
安全業者卡巴斯基(Kaspersky Lab)和Novetta、AlientVault、賽門鐵克等10多個其他單位參加名為「Operation Blockbuster」的聯合調查並於日前發表報告有更多發現。
 
研究人員在索尼影業攻擊後持續追查留下的惡意程式樣本,循線發現背後的駭客團體Lazarus Group。他們在多起攻擊中重覆使用攻擊程式碼,從安裝惡意程式的方法、使用的密碼到刪除蹤跡的手法都很類似,這也讓研究人員得以將不同攻擊行為串起來,進而步步發掘其面貌。
 
研究人員相信Lazarus Group最早可從2009年就開發出第一隻惡意程式,此後動作日益頻繁,寫出愈來愈多惡意程式。2014到2015年是其「產量」最高峰,到今年都還相當活躍。

↓ Lazarus Group接連涉及2013年首爾銀行及電視業者的攻擊事件,在2014年到2015年間還持續發動間諜潛伏行動,入侵銀行、電視台及製造業公司系統,包括台灣、中國、南韓、日本、印度甚至美國等10多國都在受害國家之列。(圖片來源:Kaspersky)


 
研究人員發現Lazarus Group住在GMT+8或+9的時區(即日本、韓國一帶)。同時Novetta依據相關樣本判斷出近2/3的執行檔包含韓語人士的典型元素。這部份呼應當初FBI的懷疑。Novetta研究人員也相信,索尼影業的攻擊並非內部人士,也非一般駭客所為,而是有政府支持的行動。
 
有趣的是,研究人員研究了Lazarus Group的攻擊作息,發現他們午夜就開始「工作」,午餐時間稍事休息,一天工作時間長達15、16小時,恐怕是歷來最勤勞的APT攻擊駭客了。

 


Advertisement

更多 iThome相關內容