在入侵银行和加密货币交易所、策划ATM提款和部署勒索软件之后,朝鲜黑客现在已经将目光投向了网上商店。
朝鲜国家支持的黑客小组正在闯入在线商店,插入恶意代码,在他们访问结账页面和填写付款表格时窃取买家的支付卡详细信息。
荷兰网络安全公司SanSec在今天发表的一份报告中说,自2019年5月以来,针对网店的攻击一直在持续。
在这一系列黑客攻击中,知名度最高的受害者是配件连锁店克莱尔(Claire’s),今年4月和6月被入侵。
这些类型的攻击被命名为“网页浏览”、“电子浏览”或“Magecart攻击”,姓氏来自于第一个使用这种策略的群体的名字。
网络掠取攻击本质上很简单,尽管它们需要黑客的高级技术才能执行。其目的是让黑客进入网络商店的后端服务器、相关资源或第三方小工具,在那里他们可以在商店的前端安装和运行恶意代码。
代码只加载在签出页面上,并在将支付卡详细信息输入到签出表单时自动记录。这些数据随后被过滤到一个远程服务器,黑客从那里收集数据并在地下网络犯罪市场上出售。
网页浏览攻击通常需要黑客操作大型基础设施来承载恶意代码或运行收集点。
SanSec的报告将近期网络浏览攻击中使用的域名和服务器IP地址与此前已知的朝鲜国家资助的黑客基础设施相关联。
SanSec创始人willemdegrot说,证据指向了隐藏的眼镜蛇(或lazarusgroup),美国国土安全部给平壤的精英国家操作的黑客团队起了代号。
绿色=黑客商店
红色=隐藏的眼镜蛇控制的渗出节点
黄色=连接攻击和恶意代码的独特技术
德格罗特今天说:“隐藏的眼镜蛇是如何进入的还不清楚,但攻击者经常使用鱼叉式网络攻击(诱杀邮件)来获取零售员工的密码。”
SanSec的调查结果是朝鲜国家支持的黑客行动的一部分。虽然许多政府支持的组织只从事网络间谍活动,但由于制裁令其经济陷入瘫痪,朝鲜也利用国家黑客为其政府筹集资金。
平壤的黑客与全球各地银行的网络抢劫有关,参与了ATM机抢劫和ATM提款,策划了加密货币诈骗,并破坏了加密货币交易。
他们还经常从地下网络犯罪市场购买商品恶意软件,最近被发现策划COVID-19网络钓鱼活动。
朝鲜黑客也被指责制造了臭名昭著的WannaCry勒索软件,该软件在2017年5月让IT世界的大部分地区屈服。当局和专家表示,万纳克里是一个拙劣的尝试,试图制造勒索软件,用来勒索受害者的钱,为平壤政权筹集资金。
由于朝鲜厚颜无耻的黑客活动,2019年9月,美国财政部对其认为与三个黑客组织有关联的企业实体实施制裁,美国官员称这些实体是用于为朝鲜武器和导弹项目筹集资金的幌子公司。
事实上,朝鲜黑客参与了网络掠取事件,这一事实并不令业内专家感到意外,因为他们历来都倾向于任何类型的网络犯罪,而这些犯罪行为都能带来利润。