美國外交分析家德佩特里(Daniel DePetris)今年10月收到華府智庫網站「北緯38度」(38 North)主任珍妮‧湯(Jenny Town)的邀稿電郵時,看來沒不妥,但其實不然,網絡安全專家指,發信的很可能是蒐集情報的北韓間諜。
寄件人不以黑客常用手法,讓電腦感染病毒並且竊取敏感資料,而是似乎想假扮珍妮‧湯,試圖誘騙德佩特里針對北韓安全議題,發表看法。
德佩特里接受路透社訪問稱:「我其後再詢問對方(珍妮‧湯),便發現根本沒有邀稿的事,而且對方也遭到鎖定,就知道那是假的,所以很快就判斷這是大規模(黑客)活動。」。
根據網絡安全專家、遭到鎖定的5名個人以及路透社所檢視的電郵內容,寄出類似電郵,研判是疑似北韓黑客組織的新手法。
黑客誘騙專家發表對北韓議題看法
該北韓黑客組織被研究員稱為「Thallium」或「Kimsuky」,長期使用「魚叉式網絡釣魚」電郵來竊取密碼,或誘使人點選會下載惡意程式連結等方法。現在,他們假冒他人發電郵,直接請研究人員或專家,發表看法或撰寫報告。
根據路透社檢視過的電郵,他們提出的問題還包括,北韓可能再度核試,中國對此將有何反應,以及應否對北韓的「挑釁」採取「更溫和」做法等。
微軟旗下威脅情報中心(Threat Intelligence Center)的埃利奧特(James Elliott)直指,「攻擊者以非常、非常簡單的這一招常勝」,最早於1月發現這種新手法,「攻擊者已徹底地改變做法法」。威脅情報中心指,已確定向「Thallium」攻擊帳號提供情報的多名北韓專家的身份。
網絡安全專家指出,遭到這波攻勢鎖定的專家和分析家們,在塑造國際對北韓輿論和外國政府對北韓政策上都具影響力。
美國政府網絡安全機構2020年發表報告指,「Thallium」自2012年起開始運作,「最有可能(執行的)是北韓政權委以蒐集全球情報的任務」。