据外媒WIRED报道,在过去两周有观察者注意到属于朝鲜的多家网站出现间歇性的集体下线,由于网络并不发达朝鲜对外提供展示的网站总共也没多少个,这些网站使用朝鲜境内的服务器,平时国际用户也倒是可以正常访问。
但最近出现的间歇性集体下线令人非常疑惑,考虑到朝鲜最近进行一系列导弹试验,有观察者认为这可能是美国及其盟国对朝鲜发动网络攻击。如果是这样的话完全可以理解,毕竟此前美国也通过高度复杂的震网病毒破坏伊朗核设施。但不能理解的是美国及其盟国攻击朝鲜这些负责对外展示的公众网站有什么意思?这些网站本身作用就不大,耗时耗力攻击这些网站岂不是小家子气。
然而事实上发起攻击并导致朝鲜多数网站集体瘫痪的并不是美国网络司令部或者其他国家政府资助的黑客,而是一名穿着T恤、睡裤和拖鞋的美国网络安全研究人士的杰作,他夜复一夜地坐在客厅里看着外星人电影,吃着玉米点心,并定期到他的家庭办公室里检查他攻击朝鲜基础网络设施的软件工作进度。
这大概算是私人恩怨
2021年年初,被安全公司认为是朝鲜黑客组织的成员在Twitter等社交网站上进行小规模的钓鱼,严格来说应该是社工。这些黑客冒充其他知名或不知名的网络安全研究人员打着研究和学习的旗号关注大量活跃在Twitter上的真正的安全研究人员(白帽黑客)。朝鲜黑客的目的是通过各种手段获得白帽黑客的信任然后从他们那里骗漏洞。
其操作过程是先获得受害白帽黑客的信任,然后以研究学习目的向白帽黑客分享所谓的漏洞,打包的Visual Studio项目里实际包含后门程序,当白帽黑客中招后会被连接朝鲜黑客控制的C&C服务器,朝鲜黑客的目的是想空手套白狼窃取白帽黑客已经发现的漏洞。
名为P4X的研究人员是朝鲜去年进行钓鱼的受害者之一,P4X感觉自己受到了侮辱,并且美国政府对此并没有任何作为,于是在将仇恨酝酿一年后,P4X决定用自己的方式解决问题 — 以眼还眼、以牙还牙。
本次持续对朝鲜中央路由发起攻击的黑客就是P4X,而攻击目的就是上面我们所说的,所以这次攻击大概算是私人恩怨,与美国政府及其盟友没有什么关系。
上图是去年朝鲜黑客注册的大量虚假的研究人员账号进行钓鱼
怎么发起攻击的
P4X在朝鲜网络系统中发现很多已知但没有及时修复的漏洞,这些漏洞让P4X可以单枪匹马的对朝鲜为数不多的互联网连接所依赖的服务器和路由器发起DoS拒绝服务攻击。本质上就是制造大量虚假连接瘫痪朝鲜基础网络设施尤其是中央路由。
P4X拒绝对外披露发现了多少已知漏洞,他认为如果透露漏洞就可能让朝鲜很快修复漏洞进而导致无法继续攻击。不过P4X举了个例子:朝鲜某些网站使用的Web服务器是nginx,nginx里有个早已修复的已知漏洞是错误处理某些HTTP Header,成功利用此漏洞可以导致nginx不堪重负而宕机。P4X还在朝鲜网络里发现有些上古版本的Aapache服务器。
P4X称多数攻击都是自动化完成的,所以他只需要定期检查编写的攻击软件的工作进度即可,还有个定期脚本是来检查哪些设施是在线的,只要发现在线那就启动攻击直到其关闭。
值得注意的是P4X表示这就像是一个中小型规模的渗透测试,这名白帽黑客以前会出于善意目的向其客户的网络系统发起渗透测试以便寻找潜在的安全弱点帮助客户修复漏洞。
P4X不愿透露自己的真实姓名因为担心存在潜在的违法问题被美国政府处罚以及担心引起报复,不过他向Wired分享了桌面视频证明攻击确实是他发起的。
观察者的疑惑终于解开了
网络安全研究人员Junade Ali从两周前就看到朝鲜网站间歇性的集体下线,Junade Ali 表示有时候其监测系统发现朝鲜主要路由器会发生故障,这导致不仅朝鲜网站无法访问,包括电子邮件系统等其他任何基于国际互联网的服务都发生故障,这实际上就等于朝鲜完全从国际互联网中消失了。
现在Junade Ali 终于知道这次攻击的“幕后黑手”是谁了,直到现在P4X的攻击还没有停止,目前也不知道P4X什么时候才准备停止攻击。(文章来源:安全圈)