朝鲜黑客不断是世界各大平安公司的重点研讨目的，2017年4月底，赛门铁克就曾发布过一个报告，以为朝鲜网络攻击集团对世界多国银行发起了攻击，并预测其窃取资金超越一千亿韩元（折合人民币6.13亿元）。

同时，还列出证据标明，朝鲜网络攻击的目的包括孟加拉国、越南、厄瓜多尔、波兰等国银行，目前曾经从这些国度的银行偷盗了至多 9400 万美元。

一年之后，雷锋网 (大众号：雷锋网) 发现，又一知名平安公司迈克菲（McAfee）也异样在4月底发布报告，再次挖出了朝鲜黑客的不少黑料。McAfee 初级要挟研讨团队指出，经过临时的跟踪研讨，一项名为 Operation GhostSecret 的大型黑客活动疑似与朝鲜政府支持的黑客组织 Lazarus 有关，由于攻击中运用了与该组织有关的各种工具和歹意顺序。

 Lazarus 你是不是听着有些耳熟？对，就是那个曾对索尼影业公司停止摧毁性攻击、从孟加拉央行盗取8100万美元、被以为是 WannaCry 的重要幕后黑手的黑客团伙 Lazarus 。

研讨人员最后以为， Operation GhostSecret 只是 3 月初发作在几个土耳其金融机构和政府组织的大规模网络攻击，但 McAfee 的报告显示，这个攻击实践上涉及了 17 个国度。面前攻击者瞄准关键根底设备、文娱、金融、医疗保健和电信等多个行业，窃取业内敏感数据，目前照旧活泼。

这个判别并非是空穴来风的揣测，而是有了实锤，这个实锤就是找到了黑客所用的效劳器的藏身之地！

据外媒 SecurityAffairs 的音讯，泰国当局在 ThaiCERT（相当于泰国的国度互联网应急呼应中心）与迈克菲（McAfee）的协助下，找到了朝鲜 APT 组织 Hidden Cobra 运用的效劳器。

泰国当局发现，这台效劳器竟然藏在一所泰国大学里，2014 年朝鲜黑客就借助这台效劳器让索尼影业少量邮件和电影拷贝曝光。

在往年的 3 月 15 日至 19 日，美国、澳大利亚、日本和中国的效劳器屡次遭到感染。泰国近 50 台效劳器更是遭到歹意软件的严重打击，是一切国度中遭到攻击最严重的，也是出自这个效劳器。

据悉，该效劳器当年是 Hidden Cobra 发起 GhostSecret 攻击时的指挥和控制中枢。假如没有迈克菲专家在全球范围内的不懈剖析与调查，这台效劳器恐怕还安静的躺在泰国那所大学中。

我们对 GhostSecret 攻击的调查显示，黑客事先用了多个歹意软件停止植入，其中包括功能与 Bankshot 相似的软件。在 3 月 18 日到 26 日的调查中，我们发现歹意软件其实散布在全球多个中央，这种新型变种在许多中央都与歹意软件 Destover 相似，后者就是 2014 年让索尼营业元气大伤的罪魁祸首。

McAfee 在对控制效劳器设备停止进一步伐查后发现，与控制效劳器203[.]131[.]222[.]83 捆绑的 SSL 证书 d0cb9b2d4809575e1bc1f4657e0eb56f307c7a76 在 2018 年 2 月的一次植入中也用到了，而这台效劳器属于泰国法政大学。索尼影业被攻击后，Hidden Cobra 就不断在运用这一 SSL 证书。

泰国是 Destover 变种感染的重灾区

雷锋网发现，ThaiCERT 发布的一份平安公告指出，GhostSecret 攻击往年 2 月份重出江湖。迈克菲也发现了三个属于法政大学的 IP 地址（203.131.222.95、203.131.222.109、203.131.222.83），它们与攻击脱不了干系。

可怕的是，如今这场攻击还处在停止时。

迈克菲表示，GhostSecret 是一场全球范围的数据侦查项目，它针对的是关键根底设备、文娱、金融、医疗保健和通讯等。攻击面前的黑客用上了多种植入物、工具和歹意软件变种，其手法与当年的 Hidden Cobra 如出一辙。

与此同时，McAfee 初级要挟研讨团队还发现了一个未注销在案的植入物 Proxysvc，2017 年年中它就开端偷偷祸患他人了。

眼下，ThaiCERT 正结合外地政府与迈克菲剖析这台效劳器中的内容，不知它们能否还能挖出什么惊天大机密。

雷锋网 Via.  SecurityAffairs

相关文章： 探秘 | 比朝鲜核武器更炸裂更奥秘的，是朝鲜黑客部队

朝鲜 Lazarus 团伙黑客工具剖析

朝鲜网络作战部队已达6800人，个个程度高明，韩国恐慌

。