美国 CERT 发布预警：朝鲜黑客组织 Lazarus 开展 DDoS 僵尸网络攻击活动

2017 年 6 月 13 日，美国计算机安全应急响应团队（ US-CERT ）发布一份名为 “ Hidden Cobra （ 隐身眼镜蛇 ）” 的联合技术预警（TA17-164A），旨在声明朝鲜黑客组织 Lazarus 针对全球基础设施开展 DDoS 僵尸网络攻击活动。

该报告结合了美国国土安全部（ DHS ）与联邦调查局（ FBI ）联合调查的结果，其中还包括一份与恶意软件 DeltaCharlie 感染系统相关的 IP 地址列表。DeltaCharlie 最初被 Novetta 联盟发现并宣称是黑客组织 Lazarus 武器库的 DDoS 工具。此外，该报告还称 Lazarus 为 Hidden Cobra，并将该组织活动与朝鲜政府关联。

目前，尚不清楚该报告列出的 IP 地址到底是命令与控制基础设施的一部分，还是 DeltaCharlie 反射器/放大器设备，亦或二者兼有。为了解所列 IP 地址是否与 DDoS 攻击存有直接关系，研究人员将其与 Arbor ATLAS 基础设施所观察到的攻击信息相互关联。Arbor ATLAS 收集来自近 400 家全球分布式服务提供商的匿名 DDoS 攻击数据，旨在执行 Arbor 智能 DDoS 解决方案（ IDMS ）。以下数据来自 Arbor ATLAS 基础设施 01MAR17 与 13JUN17 之间监控的 DDoS 攻击数据：

值得注意的是，ATLAS 检测数据包括约 1/3 互联网流量，因此某些攻击活动可能无法在数据记录中体现。此外，与 ATLAS 共享的多数攻击数据采用匿名形式，以便隐藏信息源或目标 IP 地址。所以，使用 TA17-164A 提供 IP 地址主机实际占比可能高于 ATLAS 观察到的 3.8％。

众所周知，僵尸网络 DeltaCharlie 支持的 DDoS 攻击方法主要有 DNS 反射/放大、ntp 反射/放大攻击与 chargen 反射/放大攻击，即可以使用 Arbor TMS 与 Arbor APS 等智能 DDoS 缓解系统（IDMS）。此外，考虑到 DeltaCharlie 不支持 LDAP 反射/放大攻击，即不可使用 Arbor TMS 或 Arbor APS 等 IDMS 缓解操作。

令人困惑的是，如果该报告中的 IP 地址包括启动反射/放大攻击的机器设备，那么受害者将永远不会看到那些 IP 地址，其只会观察到被机器设备滥用的开放式反射器产生的攻击流量。这就增加了一种可能性，即 TA17-164A 仅列出了那些被 DeltaCharlie 滥用的 “ 无辜 ” 受害者，因为 DeltaCharlie 并不支持 LDAP 反射/放大。

TA17-164A 报告显示了近期受攻击活动影响的 24 个 IP 地址。虽然这些 IP 地址主要集中在俄罗斯伏尔加格勒，但 ATLAS 观察到其中被用来发动 DDoS 攻击的 IP 地址最大集中于沙特阿拉伯，其次是阿联酋。此外，美国、英国、澳大利亚、法国、新加坡等国也纷纷受到影响。下图描述了 DDoS 每日攻击数量，即 TA17-164A 警报中至少有一个 IP 地址被视为参与攻击的源地址：

鉴于 DDoS 攻击活动常与地缘政治活动有关，研究人员注意到 4 月 5 日攻击活动就发生在朝鲜向日本海发射导弹的第二天。但二者之间是否存在关联也仅限于猜测。目前，由于研究人员尚未确定 IP 地址来源，因此他们难以采取行动。倘若盲目对其安全系统进行操作，可能引发更多危害。

原作者：Kirk Soluk，译者：青楚 ，译审：游弋

from hackernews.cc.thanks for it.