朝鮮黑客入侵連接智利銀行ATM網絡系統(tǒng)

一個Skype電話和一名容易上當?shù)膯T工，就能讓朝鮮黑客入侵連接智利所有銀行ATM機的網絡系統(tǒng)——Redbanc。

據(jù)外媒報道，入侵Redbanc的嫌疑人是一個名為Lazarus Group（又稱Hidden Cobra）的黑客組織，該組織與朝鮮政府有關，是目前最活躍、最危險的黑客組織之一，過去幾年的主要攻擊目標為銀行、金融機構和加密貨幣交易所。

Lazarus最近發(fā)動的一次攻擊在2018年12月底，但直到上周，智利參議員Felipe Harboe在推特上指責Redbanc未向公眾告知其安全漏洞，這件事才引起公眾注意。Redbanc之后承認了此次黑客攻擊事件的存在，但聲明中沒有提到相關細節(jié)。

智利科技新聞網站trendTIC調查顯示，該事件非常嚴重。據(jù)稱，此次黑客攻擊的源頭為LinkedIn（全球最大職業(yè)社交網站，是一家面向商業(yè)客戶的社交網絡）上的一則招聘廣告，Redbanc的員工申請了另一家公司招聘開發(fā)人員的崗位。這家公司正是Lazarus Group的偽裝，他們知道自己釣到了大魚。Lazarus Group通過Skype電話聯(lián)系了這位Redbanc員工，并用西班牙語進行了面試。

在面試中，Lazarus Group要求Redbanc員工下載并安裝運行一個名為ApplicationPDF.exe的文件，稱這是一個簡化招聘流程并生成標準申請表的程序。

根據(jù)Flashpoint研究主管VitaliKremez的分析，下載該文件即下載并安裝了PowerRatankba。根據(jù)Proofpoint（一家網絡安全公司）在2017年12月發(fā)布的一份報告，PowerRatankba是一款與Lazarus Group黑客組織有關的惡意軟件。

這個惡意軟件收集了Redbanc員工工作電腦的信息，并將其發(fā)送回遠程服務器。收集到的信息包括電腦的用戶名、硬件和操作系統(tǒng)細節(jié)、代理設置、當前進程列表（如果受感染的主機打開了RPC和SMB文件共享）及RDP的連接狀態(tài)。黑客能通過這些信息知道感染了什么計算機，然后決定是否要以更具侵入性的PowerShell腳本進行下一步操作。

Redbanc事件說明，一個員工點擊錯誤的鏈接或運行錯誤的文件會導致重大的安全漏洞；一臺被入侵的電腦會損壞整個網絡。

此前，美國發(fā)布了一份起訴書，指控Lazarus Group黑客試圖從智利銀行(Banco de Chile)竊取資金。