DDoS僵尸网络,朝鲜和网络战争的威胁-IDC帮帮忙

在几周前的一个有趣的发展中,美国计算机应急准备小组(US-CERT)发布了一份罕见的公告,警告说,一个被称为隐藏眼镜蛇的朝鲜黑客团队正在积极瞄准媒体,航空航天,金融和关键美国和世界各地的基础设施部门。

根据该公告,朝鲜黑客使用DDoS僵尸网络,键盘记录程序,远程访问工具(RAT)和雨刮器恶意软件负责多次攻击,这些攻击可追溯到2009年。被称为Lazarus集团或和平守护者的朝鲜黑客被认为与5月份的WannaCry勒索软件攻击有关,该攻击影响了150多个国家的计算机。

美国国土安全部和联邦调查局目前最关心的是黑客组织正在使用名为DeltaCharlie的僵尸网络创建恶意软件,该恶意软件已用于发起分布式拒绝服务(DDoS)攻击。根据US-CERT公告,

“DeltaCharlie是一种能够启动域名系统攻击,网络时间协议攻击和角色生成协议攻击的DDoS工具。恶意软件作为基于svchost的服务在受害者系统上运行,能够下载可执行文件,更改自己的配置,更新自己的二进制文件,终止自己的进程,以及激活和终止拒绝服务攻击。

关于CERT公告的一个有趣的方面是“缓解策略”列表,其中不包括使用DDoS缓解硬件设备或清理服务的基本建议。公告确实注意到:“鼓励网络管理员应用以下建议,这可以防止多达85%的目标网络入侵。”没关系,除非网络入侵属于剩余的15%类别,我想。

就其本身而言,CERT警报令人担忧。但网络安全情报上周发布了另一条新闻,值得注意; 也就是说,北大西洋公约组织(北约)会考虑对一个成员进行足够大的网络攻击,对所有人进行攻击。二十九个国家是北约的成员 ; 随着网络战变得越来越普遍,北约成员更有可能成为外国民族的目标。

在采取行动之前,北约需要大量证据证明攻击是由一个民族国家协调的,而不仅仅是一个特殊的坏人组织。然而,弄清楚谁进行了攻击可能需要数周时间,如果不是更长时间,因为任何人都很难追踪DDoS攻击的起源。源通常是1)合法的第三方服务器,运行由攻击者利用的服务作为反射/放大攻击的一部分,或2)来自单个设备的直接洪水攻击,或3)僵尸网络许多设备,其中IP源地址很容易被欺骗到无法与攻击者关联的设备。

全面网络战的幽灵难以捉摸; 是否会涉及对关键电网基础设施和/或金融机构的DDoS攻击?医院,公用事业和银行机构是否能够阻止此类攻击?如果没有,那么他们从DDoS攻击中恢复需要多长时间?

目前没有理由感到惊慌,但鉴于最近与朝鲜之间的紧张局势以及US-CERT公告,有理由担心,

“国土安全部和联邦调查局评估,隐藏的COBRA参与者将继续使用网络行动来推进其政府的军事和战略目标。”

随着政治和网络威胁形势的不断发展,这个问题值得关注。