疑似由北韓人士主導的攻擊事件,成為熱門資安研究主題。例如,據部分報導指出,惡名昭彰的 2014 年索尼影業駭客攻擊事件是北韓的攻擊者所為。許多人也對 Lazarus 很感興趣,據稱 Lazarus 是與北韓有關的集團組織,針對一些全球性銀行展開攻擊,企圖竊取龐大的金額。
在本篇文章中,我們將探討幾場較小規模的攻擊事件。據稱這幾場攻擊事件的行動組織連續攻擊韓國能源及交通行業的重要目標,為時三年以上,這些攻擊被稱為 OnionDog。我們進行了更為徹底的查證,並獲得了有趣的結論:OnionDog 並非鎖定目標的攻擊,而是一場資安演習。
為時三年以上的,並非鎖定目標的攻擊,而是網路安全演習
OnionDog 首次於 2013 年出現。在 2016 年,有關 OnionDog 的報導指出,它們可能是 2013 年韓國能源及運輸公司攻擊事件的幕後黑手。我們已知約 200 件 OnionDog 獨特樣本,乍看之下,它看來像是規模小,但仍具有影響力的攻擊組織。
Qihoo 360 的 Helios Team 提出一份報告,非常詳細地分析了 OnionDog。這份報告包含 OnionDog 的入侵指標 (IoC),例如惡意檔案的雜湊 (hash),以及八個特定的命令及控制 (C&C) IP 位址,而這些 IP 位址確實是受到惡意程式感染電腦的回呼位址。攻擊者的目的看似並無惡意,只是為了記錄哪些目標成為這場網路安全演習的受害者。趨勢科技查找了這八個 IP 位址的網域解析歷程,獲得資訊如下: 繼續閱讀