非洲银行箔涉嫌朝鲜网络攻击

一个未命名的非洲金融机构据信，在巴拉克，基于伦敦的网络安全创业，确定并挫败了一个被捕的网络训练。

据报道，朝鲜通过网络攻击目标银行和加密货币交易所被盗估计其武器计划的估计2亿美元。

根据芬兰的芬兰安全公司F-Secure，朝鲜因唯一认为对直接财务盗窃行为负责的国家而受到全球影响力，因为他们的策略，技术和程序（TTP）蔓延到其他威胁行动者。

朝鲜正在使用“广泛和日益复杂”的网络攻击为“大规模杀伤性武器”筹集资金并加强其核和导弹方案的指控，并由路透社一支独立专家组的机密联合国报告中提升核和导弹方案。

据联合国报告称，朝鲜正在调查17个国家袭击金融机构的“至少35例报告的实例”。

安全公司表示，当巴拉克在少数加密交通的少数比例的加密流量的元数据中发现可疑的，重新命名的非洲金融机构对未命名的非洲金融机构的袭击被挫败。

攻击者已经渗透了银行的基础设施，并开始为位于保加利亚的其他银行进行少数低价值交易。

安全公司表示，在试图逃避检测时加密攻击的元素，并在朝鲜签署了使用的加密证书。

在检查时，发现可疑的流量在保加利亚的同一个域名系统（DNS），并使用相同的加密算法。每个会话也在持续同时开放，并且包含异常高的数据。

可疑流量在沙箱中孤立，并解密，以便被标识为恶意软件之间的命令和控制（C＆C）流量，这些命令和控制（C＆C）已经损害了银行的网络和基于保加利亚的服务器。

该银行随后对其基础设施进行了全面的安全审计，以发现恶意软件在其总部感染了许多端点，并且对其他银行进行了少数相同，低价值的交易 - 再次位于保加利亚 - 通过SWIFT付款基础设施。

安全公司表示，这些小型交易据信通过试图在未来日期提取更大的攻击的攻击机制。

进一步的调查发现隐藏在其南部非洲子公司之一的加密交通流量内的类似加密的C＆C流量。

“这是一项非常复杂的，多方面的，努力攻击高价值目标，其中包含一些非常明确的朝鲜参与迹象，”巴拉克的创始人兼首席执行官Omar Yaacoubi说。

“黑客使用加密是一种特别聪明的方式。知道银行将非常正确地解密，他们埋藏了他们组织的所有数据，他们埋葬了他们的“命令和控制”在这些交通流动中的家中，希望他们能够逃避检测，“他说。

组织越来越多地转向加密以提高其安全姿势，并遵守行业法规。然而，Yaacoubi表示，这提出了扫描此流量以识别和阻止威胁的挑战。

最常用的方法需要组织在扫描和重新加密之前解密进入并留下网络的所有流量。然而，他说，这种方法会提出符合遵守，可扩展性，证书管理和延迟的担忧。

“黑客通过这种方法了解挑战组织的面临，因此越来越多地转向加密的交通流量作为攻击的传染媒介。”

替代方法 - 如此实例中的银行所采用 - 是要使用行为分析和人工智能来扫描加密流量的元数据，以了解正常的流量模式，并在任何异常上提醒。

通过查看数百个不同的指标，安全公司表示，它能够实时地危险每个加密的流量会话，而无需解密。

“对于许多组织来说，解密遍历其网络的所有加密流量是根本不可行的，以检查威胁，因为它在网络性能中的击中太大了，并且可以将它们违反合规规定，”Yaacoubi说。

“但是，通过使用行为分析来评估流量元数据，可以为恶意软件扫描所有加密流量，而无需开始解密的繁琐过程。这意味着在它进入或离开网络之前，可以在恶意软件中仔细审查每个数据包。这是这种非常粒度的方法，这会在这个场合捕获黑客。

迹象表明，朝鲜的网络兴趣活动至少有三年，这是孟加拉国2016年2月孟加拉国中央博纳的抢占1亿美元抢油的恶意软件链接。幸运的是，Aspling Erroraled银行官员，这意味着袭击者净额仅为8100万美元。

从那时起，其他几个窃取金融机构和加密货币交易所的款式攻击已经与朝鲜有关。

2018年1月，安全研究人员表示，Lazarus集团认为与朝鲜政府联系在韩国袭击袭击袭击。

黑客集团以前已与其他几个活动相关联，包括索尼图片娱乐的Devastating2014网络攻击，2017年全球武术袭击。

2018年8月，卡巴斯基安全研究人员认为，使用为微软Windows和Apple的Mac OS设计的Trojanised Crypurrency Trading Software来攻击攻击攻击的攻击。

最近，朝鲜网络攻击群体被Crowdstrike报告确定为越来越多地定位移动设备。

报告称，Android操作系统上运行的移动恶意软件在Android操作系统上运行最普遍，通过安装来自第三方来源的新应用程序，驱动。