一点“谷歌同步”手机就被盗…朝鲜黑客组织 Kimsuky 的新型黑客手法

by Jang Heejun

Published 20 Mar.2023 17:00(KST)

Updated 24 Mar.2023 17:16(KST)

open/close

韩美情报机构联合警告：朝鲜“Kimsuky”新型手法曝光
滥用谷歌服务，巧妙接近的攻击模式

国家情报院公开了朝鲜代表性黑客组织“Kimsuky”的新型网络攻击手法。这是利用用户众多的“谷歌服务”的正常功能，使受害者电子设备被安装恶意程序或黑客应用后窃取信息的方式。

国家情报院20日表示，已与德国联邦宪法保卫局（BfV，以下简称宪保局）联合制订了提示Kimsuky智能化新型网络攻击危险性的网络安全建议书。国家情报院与海外情报机构联合发布建议书，这是继上月与美国合作之后的第二次。在此之前的上月10日，国家情报院曾与美国国家安全局（NSA）、联邦调查局（FBI）等共同发布联合建议书。

朝鲜黑客组织

据悉，与朝鲜侦察总局有联系的Kimsuky与Lazarus等一起，被视为朝鲜代表性黑客组织之一，不仅通过攻击虚拟货币筹措核与导弹开发资金，还对防务企业等发动鱼叉式网络钓鱼攻击，以窃取大规模杀伤性武器（WMD）开发相关信息。除“Kimsuky”这一名称外，该组织也被称为“Thallium”“Velvet”“Chollima”等。

国家情报院和宪保局注意到，Kimsuky近期的攻击模式愈发隐蔽，例如开始利用用户众多的“谷歌服务”等。韩德情报当局公开的代表性攻击手法包括▲窃取谷歌邮箱 ▲滥用Google Play同步功能等，其特点是直接滥用谷歌正常提供的功能，而几乎不进行伪装。

首先，窃取谷歌邮箱是通过滥用“Chromium浏览器”的扩展程序来实现的。Chromium是谷歌开发的开源网页浏览器项目，广为人知的谷歌Chrome、微软Edge、Naver Whale等服务均基于Chromium开发。根据国家情报院的说明，黑客通过鱼叉式网络钓鱼手法向受害者发送包含恶意链接的电子邮件，引诱其安装在浏览器中运行的恶意扩展程序。一旦受害者安装该程序，黑客无需另行登录即可实时窃取受害者的邮件内容。

此外，新增发现的一种黑客技术是滥用“Google Play同步”功能，在智能手机上自动安装恶意应用。黑客首先使用事先通过钓鱼邮件等方式窃取到的受害者谷歌账号，在个人电脑上登录，从而开启攻击。登录后，随着Google Play同步功能的启用，即使受害者没有进行任何额外操作，恶意应用也会自动安装到其智能手机上。问题应用是黑客事先以测试用途名义注册到Google Play上，然后尝试与受害者账号进行同步，一旦此类应用被安装，存储在受害者智能手机中的资料就会在毫无防护的情况下被窃取。

国家情报院相关人士表示：“与朝鲜侦察总局有联系的Kimsuky近期发动的攻击，大部分都是通过鱼叉式网络钓鱼实施的”，“用户必须亲自学习‘识别恶意邮件的方法’，在接收可疑邮件时严格遵守注意事项。”联合建议书的详细内容以及具体的防范措施、入侵指示器（IoC）等技术信息，可在国家情报院或国家网络安全中心官方网站上查询。

同时，对于继上月与美国情报机构之后再与德国情报机构共同制订联合建议书的背景，国家情报院再次强调了“国际协作的重要性”。国家情报院相关人士解释称：“国家背景黑客组织的攻击手法此刻仍在不断进化”，“要想有效应对这类攻击，国际协作已成为必不可少的条件。”