2014年攻擊索尼影業的駭客仍活躍， 台、中、日也遭毒手

william77

研究人員在索尼影業攻擊後持續追查留下的惡意程式樣本，循線發現背後的駭客團體Lazarus Group，該團體自2009年開始活動，至今仍持續潛伏伺機發動攻擊，入侵銀行、電視台及製造業公司系統，受影響的地區包括台灣、中國、南韓、日本、印度甚至美國等等。

安全研究人員指出，2014年11月底攻擊索尼影業（Sony Pictures）的駭客不但活動時間回溯到2009年，而且現在還在活動當中，涉及台灣、中國、日本及印度的攻擊。

2014年11月索尼影業遭到自稱為Guardians of Peace（GoP）的駭客集團入侵並部署毀滅性的惡意程式，摧毀索尼的系統、竊取大量資訊，隨後威脅Sony及其員工及電影院。當時美國FBI咬定是北韓政府所為，目的是為了阻止描寫刺殺北韓領袖金正恩的喜劇片《名嘴出任務》（The Interview）的上映。不過此事後來沒有結論，而駭客集團似乎也就這麼消失了。

安全業者卡巴斯基（Kaspersky Lab）和Novetta、AlientVault、賽門鐵克等10多個其他單位參加名為「Operation Blockbuster」的聯合調查並於日前發表報告有更多發現。

研究人員在索尼影業攻擊後持續追查留下的惡意程式樣本，循線發現背後的駭客團體Lazarus Group。他們在多起攻擊中重覆使用攻擊程式碼，從安裝惡意程式的方法、使用的密碼到刪除蹤跡的手法都很類似，這也讓研究人員得以將不同攻擊行為串起來，進而步步發掘其面貌。

研究人員相信Lazarus Group最早可從2009年就開發出第一隻惡意程式，此後動作日益頻繁，寫出愈來愈多惡意程式。2014到2015年是其「產量」最高峰，到今年都還相當活躍。
↓ Lazarus Group接連涉及2013年首爾銀行及電視業者的攻擊事件，在2014年到2015年間還持續發動間諜潛伏行動，入侵銀行、電視台及製造業公司系統，包括台灣、中國、南韓、日本、印度甚至美國等10多國都在受害國家之列。（圖片來源：Kaspersky）


研究人員發現Lazarus Group住在GMT+8或+9的時區（即日本、韓國一帶）。同時Novetta依據相關樣本判斷出近2/3的執行檔包含韓語人士的典型元素。這部份呼應當初FBI的懷疑。Novetta研究人員也相信，索尼影業的攻擊並非內部人士，也非一般駭客所為，而是有政府支持的行動。

有趣的是，研究人員研究了Lazarus Group的攻擊作息，發現他們午夜就開始「工作」，午餐時間稍事休息，一天工作時間長達15、16小時，恐怕是歷來最勤勞的APT攻擊駭客了。