一個(gè)Skype電話和一名容易上當(dāng)?shù)膯T工，就能讓朝鮮黑客入侵連接智利所有銀行ATM機(jī)的網(wǎng)絡(luò)系統(tǒng)——Redbanc。

據(jù)外媒報(bào)道，入侵Redbanc的嫌疑人是一個(gè)名為L(zhǎng)azarus Group（又稱Hidden Cobra）的黑客組織，該組織與朝鮮政府有關(guān)，是目前最活躍、最危險(xiǎn)的黑客組織之一，過(guò)去幾年的主要攻擊目標(biāo)為銀行、金融機(jī)構(gòu)和加密貨幣交易所。

Lazarus最近發(fā)動(dòng)的一次攻擊在2018年12月底，但直到上周，智利參議員Felipe Harboe在推特上指責(zé)Redbanc未向公眾告知其安全漏洞，這件事才引起公眾注意。Redbanc之后承認(rèn)了此次黑客攻擊事件的存在，但聲明中沒(méi)有提到相關(guān)細(xì)節(jié)。

智利科技新聞網(wǎng)站trendTIC調(diào)查顯示，該事件非常嚴(yán)重。據(jù)稱，此次黑客攻擊的源頭為L(zhǎng)inkedIn（全球最大職業(yè)社交網(wǎng)站，是一家面向商業(yè)客戶的社交網(wǎng)絡(luò)）上的一則招聘廣告，Redbanc的員工申請(qǐng)了另一家公司招聘開(kāi)發(fā)人員的崗位。這家公司正是Lazarus Group的偽裝，他們知道自己釣到了大魚。Lazarus Group通過(guò)Skype電話聯(lián)系了這位Redbanc員工，并用西班牙語(yǔ)進(jìn)行了面試。

在面試中，Lazarus Group要求Redbanc員工下載并安裝運(yùn)行一個(gè)名為ApplicationPDF.exe的文件，稱這是一個(gè)簡(jiǎn)化招聘流程并生成標(biāo)準(zhǔn)申請(qǐng)表的程序。

根據(jù)Flashpoint研究主管VitaliKremez的分析，下載該文件即下載并安裝了PowerRatankba。根據(jù)Proofpoint（一家網(wǎng)絡(luò)安全公司）在2017年12月發(fā)布的一份報(bào)告，PowerRatankba是一款與Lazarus Group黑客組織有關(guān)的惡意軟件。

這個(gè)惡意軟件收集了Redbanc員工工作電腦的信息，并將其發(fā)送回遠(yuǎn)程服務(wù)器。收集到的信息包括電腦的用戶名、硬件和操作系統(tǒng)細(xì)節(jié)、代理設(shè)置、當(dāng)前進(jìn)程列表（如果受感染的主機(jī)打開(kāi)了RPC和SMB文件共享）及RDP的連接狀態(tài)。黑客能通過(guò)這些信息知道感染了什么計(jì)算機(jī)，然后決定是否要以更具侵入性的PowerShell腳本進(jìn)行下一步操作。

Redbanc事件說(shuō)明，一個(gè)員工點(diǎn)擊錯(cuò)誤的鏈接或運(yùn)行錯(cuò)誤的文件會(huì)導(dǎo)致重大的安全漏洞；一臺(tái)被入侵的電腦會(huì)損壞整個(gè)網(wǎng)絡(luò)。

此前，美國(guó)發(fā)布了一份起訴書，指控Lazarus Group黑客試圖從智利銀行(Banco de Chile)竊取資金。