北韓駭客組織Lazarus以軟體供應鏈手法攻擊南韓用戶

安全廠商ESET近日發現駭客組織Lazarus對南韓用戶發動攻擊，運用一種軟體供應鏈機制，使用南韓合法安全軟體及從兩家公司偷來的數位憑證，以便在用戶電腦植入惡意程式。

Lazarus首先於2016 年2月為人發現，美國電腦緊急應變小組（US-CERT）和FBI稱之為Hidden Cobra，美國也認為Lazarus和北韓政府關係密切。Lazarus因2014年攻擊索尼影業（Sony Pictures Entertainment）而惡名遠播，之後還曾攻擊波蘭、墨西哥銀行、中美洲賭場及美國國防外包商等。

這次事件發生在今年夏秋之交，可能屬於Lazarus名為 Operation Bookcodes的行動一部份。研究人員指出，此次攻擊主要與一個合法軟體WIZVERA VeraPort有關。WIZVERA VeraPort是南韓裝置端安全管理軟體，用以接收與安裝特定網站需要的必要安全軟體，例如瀏覽器外掛、安全軟體、身份驗證軟體等等，在南韓通常用於政府或銀行網站，有的網站甚至要求使用者必須安裝WIZVERA VeraPort才能使用服務。

行動的第一階段中，Lazarus先駭入某些使用WIZVERA VeraPort的合法網站後，再將要下載的軟體置換成惡意binary，藉由VeraPort途徑下載到網站訪客的電腦。最後下載到用戶電腦的是一個遠端木馬程式（RAT）。

駭客利用VeraPort組態檔一個特性：它可在下載並執行binary前驗證憑證，但它只管憑證有效與否，而不去管是誰的憑證。因此，在第二階段中，Lazarus使用偷來的兩家安全廠商發出的憑證來為其簽章，以便成功執行冒充合法程式的RAT。

研究人員指出，這種軟體供應鏈攻擊是可以防止的。例如WIZVERA VeraPort的組態也可以驗證下載binary的雜湊（hash），只要啟動該選項，即使網站被駭，駭客也不容易將軟體掉包。

但是研究人員也警告，供應鏈攻擊讓駭客得以冒充合法軟體，同時入侵多臺電腦，未來可能數量會更多，以特定地區或產業內知名的服務為攻擊目標。