全球电商与科技巨头亚马逊近日披露了其主动挫败朝鲜黑客组织的行动细节。调查显示,这些黑客长期利用位于美国亚利桑那州的“笔记本电脑农场”作为基地,通过伪装成合法求职者获取企业远程工作岗位,进而渗透内部网络、窃取敏感数据并实施勒索。
已拦截超1800次入侵尝试
亚马逊此前从未公开讨论此类事件。公司最新透露,自2024年4月以来,其安全团队已成功阻截超过1800次与朝鲜黑客相关的入侵企图,且攻击频率仍在持续快速上升。据估算,这些黑客针对亚马逊系统的渗透尝试每季度增长约27%。
其典型攻击链始于在美国境内招募居民,让其运营一项看似无害的副业:购买并维护大量接入美国本地网络的笔记本电脑。这些设备随后被用于支持精心伪造的简历,使黑客能够以高度可信的身份申请大型科技公司的远程职位。一旦成功入职,攻击者便获得了访问企业内部系统的权限与行动自由。
加密货币公司与内部数据成主要目标
仅2025年内,朝鲜黑客就利用此方法对多家加密货币公司与交易平台发动了攻击,造成了重大的经济损失。虽然对加密行业的攻击主要旨在盗取资金,但亚马逊安全团队分析认为,针对其自身的渗透尝试,目标更可能是窃取敏感的商务与内部数据。
事实上,亚马逊证实已有部分攻击者使用伪造资质成功通过招聘流程。2025年初,一名新入职的系统管理员,其笔记本电脑上的行为监控触发了安全警报,从而启动了一次深入的内部调查。
110毫秒的延迟成为关键证据
经过缜密分析,亚马逊的安全专家确定,这名身处美国的远程员工的笔记本电脑正被远程控制,并因此产生了异常高的击键延迟。在正常的美国本地网络连接下,直接操作的击键延迟通常仅在几十毫秒级别。而在此案例中,监控到的延迟达到了110毫秒。这虽然是个案,但它证明了此类远程控制活动会留下可被网络与系统监控技术检测到的行为痕迹。
语言破绽与行为特征辅助识别
除了技术指标,亚马逊还分享了其在监控中关注的其他行为特征。在线上会议或书面沟通中,攻击者常因微妙的语言使用失误而暴露身份,例如难以自然运用美式习语或出现不一致的书面英语表达,这暗示了英语并非其母语。这些行为线索与异常网络指标一样,是亚马逊主动安全防御体系中优先关注的信号。
此前,美国联邦调查局(FBI)已查处多个为朝鲜网络行动提供支持的“笔记本电脑农场”。这些设施内存放着供海外黑客远程接入使用的计算机,其美国境内的运营者随后也因参与非法活动而被定罪。
参考来源:
110 Milliseconds of Truth: How Amazon Used “Lag” to Catch a North Korean Spy
https://securityonline.info/110-milliseconds-of-truth-how-amazon-used-lag-to-catch-a-north-korean-spy/ | 
发表于 14 小时前
|
查看: 2|
回复: 0
