朝鲜黑客利用电鱼隧道过滤数据

“隐形眼镜蛇”又名拉扎勒斯集团和和平卫士，据信得到朝鲜政府的支持，并对世界各地的媒体组织、航空航天、金融和关键基础设施部门发起网络攻击。

该黑客组织与2017年的WannaCry勒索软件威胁、2014年的索尼影业黑客攻击和2016年的SWIFT银行攻击有着相同的关联。

现在，国土安全部和联邦调查局发现了一种新的恶意软件变体，名为电鱼隐藏的眼镜蛇黑客一直在利用它秘密地从受损的计算机系统中挖掘流量。

该恶意软件实施了一个定制协议，配置了代理服务器/端口、代理用户名和密码，允许黑客绕过受损系统所需的身份验证，到达网络外部。

ElectricFish恶意软件是一个命令行实用程序，其主要目的是在两个IP地址之间快速传输流量。

该恶意软件允许隐藏的Cobra黑客配置代理服务器/端口以及代理用户名和密码，从而有可能连接到位于代理服务器内部的系统，从而允许攻击者绕过受感染系统所需的身份验证。

警报写道：“它将尝试使用源IP地址和目标IP地址建立TCP会话。如果同时连接到源IP和目标IP，此恶意实用程序将实施自定义协议，这将允许在两台机器之间快速有效地传输流量”。
“如有必要，恶意软件可以通过代理进行身份验证，以便能够到达目标IP地址。此实用程序不需要配置代理服务器”。

一旦ElectricFish使用配置的代理进行身份验证，它会立即尝试与目标IP地址建立会话，该地址位于受害者网络和源IP地址之外。攻击将使用命令提示指定隧道通信的源和目标。
虽然US-CERT网站没有说明是否有或是否有，哪些美国组织已经感染了这种新的恶意软件，但联合恶意软件分析报告（MAR）确实表示，发布该警报“是为了实现网络防御，减少朝鲜政府恶意网络活动的风险”

这不是国土安全部和联邦调查局第一次发布联合警报，警告用户和组织有关隐藏的眼镜蛇恶意软件。

去年年底，美国各部门警告称FastCash恶意软件自2016年以来，这条隐藏的眼镜蛇一直在利用非洲和亚洲银行的支付切换应用服务器，试图从银行自动柜员机中套现。

不到一年前，国土安全部和联邦调查局还发布了一份警告，提醒用户使用两种不同的恶意软件，一种功能齐全的远程访问特洛伊木马（RAT），称为乔纳普以及一个名为布拉姆布尔—链接到隐藏的眼镜蛇。

2017年，US-CERT还发布了一个警报，详细介绍了隐藏的Cobra恶意软件，名为德尔塔·查理，他们认为朝鲜黑客用来对其目标发起分布式拒绝服务攻击的DDoS工具。