美国司法部在2018年6月8日发布了一则对朝鲜黑客朴金赫的有罪推定文件,编号为:MJ-18-1479.
文件中断定这位名为朴金赫的小哥是朝鲜国家队黑客,并以一位程序员的身份参与实施了多起网络谍战攻击,包括但不限于:
2014年对索尼映画的攻击.
编写了2016年横扫全球150个国家的wannaCry蠕虫.
首见的利用SWIFT系统攫取金钱的行动—致使孟加拉银行损失了8100万美元.
以及针对美国国防武器承包商 洛克希德马丁 的钓鱼邮件攻击.
朴金赫其人:
毕业于朝鲜金策大学(kut.edu.kp)
2011年-2013年在中国大连Chunsun公司工作.(不写木马的时候接点软件外包工作为国家赚取外汇.)
2014年返回朝鲜(索尼映画被攻击的前夕).
lazarus黑客小组的成员—隶属朝鲜Lab001—隶属朝鲜侦查总局.
答案很简单,他们发现了朴小哥在中国大连工作时候使用的诸多邮箱,并对这些邮箱使用了XX手段.
下面罗列一些美国人的XX手段:
tty198410@gmail.com、 watsonhenny@gmail.com 、yardgen@gmail.com 、jasmuttly@daum.net、 mrwangchung01@gmail.com 这几个邮箱用同一台机器访问过.
tty198410@gmail.com 这个邮箱的注册时间是2011年9月1日,注册时候填写的姓名是 "K YM", 注册时候填写的恢复邮箱是 hyonu@hotmail.com,邮箱所有人在2014年9月至2015年5月挂着代理使用的这个邮箱.此邮箱账号的calendar服务时区设置为亚洲/平壤.
2013年11月,tty198410@gmail.com 注册了Rapid7账号(就是那个开发Metasploit的公司). 访问的IP是210.52.109.0-210.52.109.255(属于中国被朝鲜使用着).
tty198410@gmail.com 使用"Kim HyonWu"名字注册过另一家网络安全公司的账号.
hyonu@hotmail.com 注册时间为 2007年3月13日,使用的语言是朝鲜语,注册位置是韩国首尔,注册名字是 "Kim Hyon Woo".
hyonu@hotmail.com 在2007年4月23日使用IP#2在某知名软件论坛查看了软件编程相关的文章.
hyonwoo01@gmail.com此邮箱收到了N多邮件附件,每一个附件都被FBI探员成功恢复.里面涉及特马样本相关信息.或与DarkSeoul赛博攻击有关.
2015年12月4日在黑客论坛(hackforums.net)发帖 "我的邮箱是campbelldavid793@gmail.com 谁有doc exploit 发我一份"
等等诸如此类不一而足.
那么我们换一个角度看这些XX手段, 能发现什么呢?
能发现美情报机构可以:
获得目标邮箱的 准确注册时间 注册时候填写的备用邮箱 注册设备的语言、时区设置
重建目标邮箱的邮件内容,以及查看邮件附件.
具体 什么时间 通过 什么设备 使用 什么IP 访问了目标邮箱.
某特定设备历史上曾经访问过多少次目标邮箱.
目标邮箱曾经注册过 哪些网站 (这个是全球范围内的网站) 在 什么时间注册的 注册之后 干了什么 .
是否 挂代理 是否 使用跳板 访问了目标邮箱.
这…这…这不是就是XKeyscore么….
本文由wlz入驻安全脉搏账号发布,原始地址:https://wlz.ooo/xkey.html
本文作者:wlz
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/75460.html