关注网络战——换个角度看美国对朝鲜黑客的指控(MJ-18-1479)

2018-09-10 5,209

1 换个角度看美国对朝鲜黑客的指控(MJ-18-1479)

1.1 简介

美国司法部在2018年6月8日发布了一则对朝鲜黑客朴金赫的有罪推定文件,编号为:MJ-18-1479.

文件中断定这位名为朴金赫的小哥是朝鲜国家队黑客,并以一位程序员的身份参与实施了多起网络谍战攻击,包括但不限于:

  1. 2014年对索尼映画的攻击.

  2. 编写了2016年横扫全球150个国家的wannaCry蠕虫.

  3. 首见的利用SWIFT系统攫取金钱的行动—致使孟加拉银行损失了8100万美元.

  4. 以及针对美国国防武器承包商 洛克希德马丁 的钓鱼邮件攻击.

朴金赫其人:

  1. 毕业于朝鲜金策大学(kut.edu.kp)

  2. 2011年-2013年在中国大连Chunsun公司工作.(不写木马的时候接点软件外包工作为国家赚取外汇.)

  3. 2014年返回朝鲜(索尼映画被攻击的前夕).

  4. lazarus黑客小组的成员—隶属朝鲜Lab001—隶属朝鲜侦查总局.


1.2 那么美国情报部门是如何发现这位朴小哥的呢?

答案很简单,他们发现了朴小哥在中国大连工作时候使用的诸多邮箱,并对这些邮箱使用了XX手段.

下面罗列一些美国人的XX手段:

  1. tty198410@gmail.com、 watsonhenny@gmail.com 、yardgen@gmail.com 、jasmuttly@daum.net、 mrwangchung01@gmail.com 这几个邮箱用同一台机器访问过.

  2. tty198410@gmail.com 这个邮箱的注册时间是2011年9月1日,注册时候填写的姓名是 "K YM", 注册时候填写的恢复邮箱是 hyonu@hotmail.com,邮箱所有人在2014年9月至2015年5月挂着代理使用的这个邮箱.此邮箱账号的calendar服务时区设置为亚洲/平壤.

  3. 2013年11月,tty198410@gmail.com 注册了Rapid7账号(就是那个开发Metasploit的公司). 访问的IP是210.52.109.0-210.52.109.255(属于中国被朝鲜使用着).

  4. tty198410@gmail.com 使用"Kim HyonWu"名字注册过另一家网络安全公司的账号.

  5. hyonu@hotmail.com 注册时间为 2007年3月13日,使用的语言是朝鲜语,注册位置是韩国首尔,注册名字是 "Kim Hyon Woo".

  6. hyonu@hotmail.com 在2007年4月23日使用IP#2在某知名软件论坛查看了软件编程相关的文章.

  7. hyonwoo01@gmail.com此邮箱收到了N多邮件附件,每一个附件都被FBI探员成功恢复.里面涉及特马样本相关信息.或与DarkSeoul赛博攻击有关.

  8. 2015年12月4日在黑客论坛(hackforums.net)发帖 "我的邮箱是campbelldavid793@gmail.com 谁有doc exploit 发我一份"

等等诸如此类不一而足.

park.png

那么我们换一个角度看这些XX手段, 能发现什么呢?

能发现美情报机构可以:

  1. 获得目标邮箱的 准确注册时间 注册时候填写的备用邮箱 注册设备的语言、时区设置

  2. 重建目标邮箱的邮件内容,以及查看邮件附件.

  3. 具体 什么时间 通过 什么设备 使用 什么IP 访问了目标邮箱.

  4. 某特定设备历史上曾经访问过多少次目标邮箱.

  5. 目标邮箱曾经注册过 哪些网站 (这个是全球范围内的网站) 在 什么时间注册的 注册之后 干了什么 .

  6. 是否 挂代理 是否 使用跳板 访问了目标邮箱.

这…这…这不是就是XKeyscore么….

xk.jpg

xk2.jpg

本文由wlz入驻安全脉搏账号发布,原始地址:https://wlz.ooo/xkey.html



Tags:
评论  (0)
快来写下你的想法吧!

wlz

文章数:1 积分: 27

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号