北韩骇客新手法! 用宿主电脑帮金正恩政权「挖矿」

图文/镜周刊

北韩的代表,星期二进行了自2015年12月以来第一次的面对面会谈。会谈地点南北停战线上的板门店和平之家」举行。双方的会谈重点之一,是即将在南韩昌平举行的冬运会。 它也被视为南北韩「破冰」的可能契机

不过,在此同时,根据华尔街日报报导网路安全专家们发现在某类型的虚拟货币发了埋藏恶意软体,这个恶意软体并将它搜刮的战利品转到了北韩,这说明了在重重的国际禁运箝制下,北韩的骇客正透过网路其他寻找另类的收入。

根据美国资安公司Alien Vault星期一公布的报告,这个在去年平安夜发动的恶意软体,指示被感染的「宿主电脑执行挖矿的电脑运算,以获取加密货币「门罗币」(Monero),并传送到平壤的金日成大学。骇客在输入三个英文字母的密码KJU(有可能是金正恩Kim Jong Un的英文姓名缩写)之后,可以获取使用这些虚拟币。

门罗币Monero:根据它的官方网站说法,是一个「安全、私密、无法追踪」的加密货币,使用者帐户交易都不会受「刺探窥视」。

Alien Vault的资安专家多曼(Chris Doman)说,这些病毒安装在何处,有多少门罗币被窃取,目前都还不清楚。多曼是从谷歌旗下子公司Virus Total专门收集电脑病毒资料库中,辨识出这个恶意软体。多曼说,由于只有大型企业或组织会自动上传大量档案给Virus Total,这个恶意软体应该是某个大公司发现的,但是他无法判定于多少电脑受到攻击,也不确定攻击是否还在持续。

几名门罗币社群的重要人士在星期一发表声明,他们说数以百万的用户信赖门罗币是执行安全、私密交易的货币」,但是「没有任何货币——不管是虚拟货币或法定货币——可以完全免于不法犯罪」。

多曼说,恶意软体的程式相当原始,研判像是出自学生的练习手法,而不是北韩精英的骇客单位Lazarus。恶意软体的创造者刻意隐藏了部分的档案,这表示这个软体不是出自意外或是恶作剧

多曼举例说,恶意软体把门罗币的挖矿档案放在微软视窗作业系统档案夹里,这正是不法骇客的典型手法。此外,它把档名命名为intelservice.exe,显然是故意混淆使用者,让他们误以为这是Intel的产品。

虽然无法证明这个骇客与北韩政权或是Lazarus骇客组织有直接的关联,不过这个挖矿的恶意软体,再次证明了北韩对于虚拟货币充满兴趣

强力国际制裁下,北韩不断找寻可能资金来源,来减轻禁运措施对经济的冲击。北韩骇客也涉嫌在上个月入侵一个南韩的虚拟币交易所。更早之前,去年的WannaCry勒索软体也是要求被骇的电脑以比特币支付赎款。

北韩对于这些骇客攻击的指控则一概否认。华尔街日报无法联系到金日成大学对这起事件做评论,这所以北韩开国者命名的大学,金正日、金正恩父子都曾是这里的学生。

由于北韩的电脑和网路使用有重重限制,因此北韩政府挖掘虚拟币的工作往往被迫在海外进行。虚拟货币近来成了投资者疯狂炒作的标的,过去一年来,比特币的汇率从1比特币兑换911.20美元,暴涨了约1600%,而门罗币也从一年前1门罗币兑13.47美元,成长了约2800%。

虚拟币的「挖矿」,需要消耗大量电力和电脑运算力,因此多曼说:「在别人的电脑上运作(门罗币挖矿软体),等于是不花成本、只有获利的无本生意。」

参考资料:华尔街日报

更多镜周刊报导北韩「网军」实力超乎想像:金正恩核武之外的一大威胁 「可以偷走任何东西」「隐士王国」?「外交孤儿」?金正恩政权绵密的海外网络美国姿态放软 暂缓对北韩先发制人?网路防护太弱 台湾等新兴国家沦为骇客试验场