在朝鮮當局的支援下，網絡犯罪分子氣勢洶洶

文 / 李洪基

微軟網路安全機構、MTIC指出H0lyGh0st、Plutonium等黑客組織為了拯救因制裁、災害等而被破碎的經濟，通過國外黑客活動賺錢，集中攻擊印度、韓國、美國的能源和防衛產業，比特幣贖金。

微軟的網絡安全機構MTIC(Microsoft Threat Intelligence Center)

最近公開了題為《朝鮮為什麼讓網絡犯罪分子進行勒索軟件攻擊》的簡短報告書，引起了人們的關注。MTIC斷言，自稱H0lyGh0st的勒索軟件組織很可能得到朝鮮政府的資助，以抵消朝鮮經濟正在陷入困境。

勒索軟件攻擊通常由私人犯罪集團實施，以犧牲易受攻擊的組織為代價來賺錢。但是，不能排除對另一個敵對國家進行這種攻擊的可能性。MTIC對與朝鮮相關的一系列勒索軟件攻擊進行調查的新報告書從這一點來看, 值得關注。

此前被微軟命名為DEV-0530的網絡犯罪集團H0lyGh0st從2021年6月開始主要以其他國家的中小企業為對象展開了勒索軟件攻擊。該組織對受感染系統上的敏感文件進行加密，並首先將樣本文件發送給受害者作為網絡攻擊的證據。然後，他們以允許受害者解密其數據的名義勒索贖金，通常以比特幣的形式。支付贖金後，文件將被恢復。但如果他們不聽話，他們就會威脅將材料發送給受害者的客戶或在社交媒體上披露。

H0lyGh0st還辯稱，這種犯罪行為是出於賺錢以上的善良目的。例如，他們主張：.ionon網站上正在努力彌合貧富差距，幫助飢餓的人，讓受害者對網絡攻擊提高警惕。 事實上，他們炫耀自己獨特的手冊，向受害者說明網絡攻擊的漏洞，或者告訴他們在支付贖金後如何解密損壞的文件。

可以通過兩個跡象來判斷他們與朝鮮當局之間存在聯繫的可能性。首先，MTIC表示，對H0lyGh0st運營的時間和模式進行分析的結果顯示，發現了UTC(世界標準時間)+8 和UTC+9時間段的活動。 UTC+9，即比世界標準時間早9個小時的時間是朝鮮(正式名稱朝鮮民主主義人民共和國)的標準時間。

此外，MITC 報告稱，H0lyGh0st 與另一個名為钚（Plutonium）的組織之間存在一定的關聯。 朝鮮的網絡犯罪組織 Plutonium 長期以來一直攻擊印度、韓國和美國的能源和國防工業。兩組都使用相似的基礎設施，並以相似的名稱命名自定義惡意軟件控制器。 MTIC 還發現了與已經廣為人知的钚攻擊者帳戶通信的 H0lyGh0st 電子郵件帳戶，揭示了兩者之間的聯繫。

那麼，為什麼國家會把目光轉向勒索軟件呢？

對此，微軟和MTIC提到了一種可能的動機。就是說，如果北韓政府確實直接贊助H0lyGh0st攻擊，其目的是為了支撐北韓經濟而賺錢。因國際制裁、自然災害、COVID-19封鎖和其他災難而遭受打擊的北韓經濟正在走向最惡劣的狀況。也就是說，為了改善這種惡化的經濟狀況，北韓在過去幾年裡有可能一直贊助勒索軟件攻擊。

專家說：像朝鮮這樣貧窮或受到嚴厲制裁的國家發現，勒索軟件攻擊是籌集資金的一種有吸引力的方式，而這些資金和資源是他們無法通過正常方式獲得的。解決方案架構公司副總裁 Chris Clements （音）在TechRepublic表示：特別是加密貨幣在傳統、監管良好的金融體系之下實現了大規模資金轉移。資金有限的網絡犯罪集團瞄準像中小企業，易受攻擊的對象，獲取了巨大的收益。

朝鮮政府可能不是這些勒索軟件事件的幕後黑手。這是因為國家支持的網絡攻擊通常針對比 H0lyGh0st 目標更廣泛的受害者。還解釋說，H0lyGh0st 和Plutonium的成員可能會單獨（獨立於政府或組織）進行攻擊團體以謀取私利。