曾攻陷索尼影视的黑客组织到底有多强大？

由四家网络安全企业组建的安全团队设法分析了攻击索尼影视的黑客组织效率到底有多高、组织有多严密、破坏力到底有多强大。

由来自AlienVault、卡巴斯基、Novetta以及赛门铁克的安全研究人员与来自10个其它企业的员工一起分析了索尼攻击背后的黑客组织在过去七年中的攻击活动。这个黑客组织名为“拉撒路黑客组织（Lazarus Group，拉撒路是《圣经》当中一个疯癫的乞丐）”。

该黑客组织首次现身于2009年，自此就非常活跃，已针对多个国家及地区发动针对性攻击，如美国、墨西哥、巴西、土耳其、俄罗斯、伊朗、沙特阿拉伯、印度、孟加拉国、中国、印度尼西亚、马来西亚、越南、中国台湾以及韩国。

拉撒路组织使用的恶意家族超过45个

安全企业在调查过程中，从攻击活动中收集了大量的恶意软件家族，包括RAT恶意软件、键盘记录器、DDos僵尸网络等。过去，安全企业发现这些工具和相关攻击活动由不同的黑客组织发动，而最近他们从它们所使用的病毒释放器中发现了这些组织的一个共性。病毒释放器是一种相对无害的恶意软件家族，它会首先潜伏在受害者电脑上，然后下载其它更加危险的恶意软件。

这个恶意软件病毒释放器组件被拉撒路组织用于自己的行动中，而且跟所有使用该工具的攻击活动走的是一个套路，研究人员于是顺藤摸瓜一直追踪着“巨型炸弹行动”。这个病毒释放器从命令和控制服务器中下载了有效负载，而这个命令和控制服务器以密码保护形式的压缩文件出现，而且随后使用了硬编码密码!1234567890 dghtdhtrhgfjnui$%^^&fdt" 来解压文件并且执行有效负载。

一着不慎满盘皆输：黑客活动暴露

安全研究人员由此设法识别出了这个黑客组织参与的一些攻击活动。此前这些攻击活动被认定为其它组织所为。其中包括2009年美国和韩国遭受的DDoS攻击、2011年，韩国媒体、金融机构和关键基础设施遭受的攻击以及2012年韩国保守媒体遭受的攻击等。此外，研究人员还发现2013年韩国广播公司和银行遭受的攻击、索尼影视于2014年遭受的攻击以及韩国政府办公室遭受的攻击。

研究人员没有正式将这些攻击归咎于朝鲜政府，但是这些攻击活动让人不免与亲朝鲜派联系在一起。在这个“理论性”的线索下，卡巴斯基研究人员发现拉撒路黑客组织使用的多数恶意软件是在常规的工作时间编写完成而且这个时间段与朝鲜的时区吻合，此外，他们所分析的恶意软件样本中有60%的样本用朝鲜语设置。

“巨型炸弹行动”网站发布了五份报告，详细说明了该黑客组织所使用的入侵工具、RAT恶意软件、加载器以及其它恶意软件变体。