朝鮮黑客在Skype求職面試後侵入了智利的ATM網絡,一個Skype電話和一名容易上當受騙的員工,就足以讓朝鮮黑客侵入紅班銀行(Redbanc)的計算機網絡。這家公司負責連接智利所有銀行的ATM基礎設施。此次黑客攻擊的主要嫌疑人是一個名為「拉撒路集團」(Lazarus group,或稱「隱藏的眼鏡蛇」)的黑客組織,該組織與平壤政權有關聯,是目前最活躍、最危險的黑客組織之一,過去幾年以銀行、金融機構和加密貨幣交易所為攻擊目標。Lazarus最近一次攻擊發生在去年12月底,但直到上周智利參議員Felipe Harboe在Twitter上指責Redbanc未披露其安全漏洞後,才引起公眾注意。
我想了解一下diciembre @redbanc sufrio ataque informatico a su red de interconexion bancaria的細節。大家好,我是透明的馬格尼託,我是控制塔克的醫生,該公司在一天後發布在其網站上的一條信息中正式承認了此次黑客攻擊,但聲明中沒有包括有關此次入侵的任何細節。該公司直接連接智利所有銀行的網絡。然而,在Redbanc承認的一天後,智利科技新聞網站trendTIC進行的一項調查顯示,這家金融公司遭受了嚴重的網絡攻擊,這不是一件可以輕易忽略的事情。據記者稱,此次黑客攻擊的源頭被確定為LinkedIn上的一則招聘廣告,招聘的是另一家公司的一名開發人員。據信,這家招聘公司是拉撒路集團(Lazarus Group)意識到自己釣到了大魚的一個幌子。該公司通過Skype電話聯繫了這位紅班克員工,用西班牙語進行了採訪。
trendTIC報告說,在這次採訪中,要求Redbanc員工下載、安裝和運行一個名為ApplicationPDF的文件。exe,一個幫助招聘過程並生成標準申請表的程序。但根據Flashpoint研究主管維塔利克裡米茲(Vitali kremz)對這款可執行文件的分析,該文件下載並安裝了PowerRatankba。根據校對點(Proofpoint)在2017年12月發布的一份報告,PowerRatankba是一種惡意軟體,此前曾與拉扎爾斯集團(Lazarus Group)的黑客行為有關。kremz說,這個惡意軟體收集了Redbanc員工工作電腦的信息,並將其發送回遠程伺服器。收集到的信息包括PC的用戶名、硬體和作業系統細節、代理設置、當前進程列表(如果受感染的主機打開了RPC和SMB文件共享)及其RDP連接的狀態。收集到的信息能夠告訴黑客他們感染了什麼計算機,然後決定是否要以更具侵入性的PowerShell腳本的形式交付第二階段負載。Redbanc事件是另一個例子,說明一個工人點擊錯誤的連結或運行錯誤的文件會導致重大的安全漏洞,一個被入侵的PC或筆記本電腦會導致整個網絡受到損害。此前,根據美國當局的一份起訴書,Lazarus集團黑客被控試圖從智利當地銀行智利銀行(Banco de Chile)竊取資金。