北韓駭客誤操作洩露 IP 位址,JumpCloud 成為目標
安全研究人員表示他們非常有信心地認為,最近對企業軟體公司 JumpCloud 的入侵行為是由北韓駭客所為,這是因為駭客犯了一個錯誤。Mandiant 正協助 JumpCloud 的其中一個受影響客戶,將此次洩露歸咎於北韓的偵察總局(RGB)的駭客單位,該駭客單位的目標包括加密貨幣公司和從高層主管和安全團隊竊取密碼。長期以來,北韓一直使用加密貨幣竊取來為受制裁的核武器計劃提供資金。
在 Mandiant 的一篇部落格文章中,他們表示這個被他們稱為 UNC4899 (因為是一個新的、未分類的威脅團體)的駭客單位誤操作洩露了他們的真實 IP 位址。北韓駭客通常會使用商業 VPN 服務來掩蓋他們的 IP 位址,但在「多次」情況下,VPN 失效或駭客在存取受害者的網路時沒有使用 VPN,使他們在平壤的存取暴露出來。Mandiant 表示他們的證據表明這是一個「OPSEC 失誤」,指的是駭客在他們的駭客行動中試圖阻止關於他們活動的訊息外洩的方式。研究人員還表示他們在這次入侵中發現了被歸咎於北韓的其他基礎設施的使用。
Mandiant 的技術長查爾斯·卡馬卡爾表示:"與加密貨幣相關的威脅行為主體北韓駭客繼續改進其攻擊能力。過去一年,他們進行了多次供應鏈攻擊,植入合法軟體中毒以及開發和部署定製的惡意軟體到 MacOS 系統中"。他補充道:"他們最終的目標是侵犯加密貨幣公司,並且他們找到了創造性的途徑來實現此目標。不過他們也會犯錯誤,這些錯誤幫助我們將幾次入侵行為歸因於他們"。SentinelOne 和 CrowdStrike 也確認北韓參與了對 JumpCloud 的入侵。
JumpCloud 上週在一篇簡短的文章中表示少於 5 個企業客戶和少於 10 臺裝置成為北韓駭客行動的目標。JumpCloud 在 6 月報告一次入侵事件後,已經重置了其客戶的 API 金鑰。JumpCloud 擁有超過 20 萬個企業客戶,包括 GoFundMe、ClassPass 和 Foursquare。
評論與建議
這次事件再次凸顯了國家級駭客對企業和個人的持續威脅。北韓駭客以竊取加密貨幣來資助其核武器計劃,並且根據最新的報告,他們的攻擊能力越來越強。這對全球網路安全形勢構成了嚴重挑戰。
對於企業和個人而言,保護敏感訊息和資產的安全至關重要。加固網路安全措施,包括定期檢查和更新防火牆、加密敏感資料、培訓員工識別釣魚郵件和惡意軟體等都是必要的。同時建議企業使用多層次的安全控制來減輕被入侵的風險,並尋求專業的安全顧問的建議。
在國際層面,各國政府應加大對駭客行為的打擊力度,加固跨國合作,分享情報,並制定更加嚴格的法律和監管措施。只有通力合作,才能夠更好地保護全球網路安全。
延伸閱讀
- Change Healthcare 駭客使用被盜憑證入侵 - 聯合健康集團 CEO 表示沒有多重因素認證
- 前美國國家安全域性駭客與前蘋果研究員合力成立新創公司,保護蘋果裝置
- 聯合健康稱駭客竊取健康資料:影響美國大部分人口
- 《Apex Legends 駭客稱遊戲開發者修補了直播主使用的漏洞》
- 烏克蘭網路警察如何對抗俄羅斯駭客
- 《Apex Legends 駭客自稱「只是為了好玩」竊取錦標賽遊戲》
- 寶可夢因駭客嘗試後重設一些使用者密碼
- 禁止黃色網站登陸:Pornhub 封鎖德州 IP 位址
- 美國國家安全域性表示正在追蹤 Ivanti 網路攻擊,駭客瞄準美國國防領域
- 熱門智慧視訊門鈴易遭劫持,研究人員發現
