与北韩有关的APT组织拉撒路开始攻击虚拟货币交易所
卡巴斯基安全实验室最新发布的安全报告称与北韩有关联的APT组织拉撒路成功渗透亚洲某虚拟货币交易所。
拉撒路是过去几年非常活跃的APT组织,早些年索尼影业被攻击并泄露多个未上映电影就是拉撒路集团所为。
不过拉撒路首次被发现渗透和攻击虚拟货币交易所,由于发现比较及时因此这个APT组织被成功从内网清除。
劫持合法软件攻击虚拟货币交易所的交换机:
卡巴斯基实验室在追踪发现最初木马是该交易所员工下载的,但该员工实际从合法网站下载的正规应用程序。
但经过分析卡巴斯基发现这个应用程序被感染木马,匪夷所思的是被这款木马程序竟然还有合法的数字证书。
因此该交易所员工下载程序后并没有发现任何异常,在安装运行后木马即连接远程服务器下载更多后门程序。
接着把该交易所内网使用的交换机感染,然后向其他设备散布远程访问木马以便日后可以随时进行监控等等。
尚不清楚拉撒路具体目的是什么:
由于发现比较及时所以该木马程序从内网中被清除,当时拉撒路只是散布远程访问木马并没有实施破坏攻击。
所以该交易所并没有遭到经济损失,但研究人员也无法获得拉撒路攻击虚拟货币交易所的具体原因是什么了。
按理说攻击虚拟货币交易所多半是想窃取存储的虚拟货币,这种窃取攻击在其他交易所已经发生很多很多次。
合法数字证书之谜:
最让研究人员意外的是拉撒路的木马程序竟然携带数字证书,有着数字证书因此多数安全软件直接对其放行。
同时在软件安装过程中系统能够正常识别数字证书也不会进行过多提示,这让受害者根本无从察觉存在问题。
经过追踪卡巴斯基发现这款数字证书是通过合法渠道申请的,但是注册公司和软件产品全部是捏造的不存在。
也就是拉撒路为了实施这次攻击甚至还创建虚假公司用来申请证书,看来该恶意组织应该有着重大攻击目标。
卡巴斯基并未透露遭到攻击的交易所是哪家,不过针对外媒猜测是韩国交易所卡巴斯基回应称并不是韩国的。