电子商务与科技巨头亚马逊近日披露了其主动打击朝鲜黑客行动的努力。此前有大量证据表明,这些黑客组织一直在利用亚利桑那州的所谓"笔记本电脑农场"作为渗透美国企业的跳板。他们伪装成合法求职者获取远程职位,进而窃取敏感数据并实施勒索。
1800余次入侵企图被拦截
亚马逊此前从未公开谈论这些事件,但如今透露自2024年4月以来已挫败1800多次与朝鲜黑客相关的入侵尝试,且这一数字仍在快速攀升。公司估计,这些黑客对亚马逊系统的渗透尝试每季度增长27%。典型作案手法始于雇佣美国居民运营看似无害的副业——购买并维护大量连接国内网络的笔记本电脑。这些设备随后被用于支持精心伪造的简历,使黑客得以申请大型科技公司的远程职位。一旦被录用,他们就能获得不受约束的行动自由。
加密货币公司与敏感数据成为主要目标
仅2025年,朝鲜黑客就利用此方法攻击了多家加密货币公司和平台,造成重大损失。虽然对加密行业的攻击主要旨在窃取资金,但亚马逊认为针对其组织的渗透尝试很可能是为了获取敏感内部数据。事实上,公司证实部分攻击者确实使用伪造凭证成功入职亚马逊。2025年初,一名新入职系统管理员的笔记本电脑行为监控触发警报,引发内部安全调查。
110毫秒延迟暴露远程控制
经过深入调查,亚马逊安全专家确定这名美国远程员工的笔记本电脑正被远程控制,导致异常高的击键延迟。正常情况下,直接通过美国网络连接的笔记本电脑击键延迟通常仅为几十毫秒。而此案例中延迟达到110毫秒。虽然这仅是个案,但它表明此类活动痕迹往往可被检测。
语言破绽与行为特征成为关键线索
亚马逊还分享了其监控的其他指标。在互动过程中,黑客常因微妙的语言失误暴露身份——难以自然使用美式习语或书面英语不一致——反映出英语非其母语的事实。这些线索是亚马逊防御工作中优先关注的信号之一。
此前,美国联邦调查局已捣毁多个为朝鲜网络行动提供便利的笔记本电脑农场。这些设施存放着供黑客远程使用的计算机,其运营者随后因参与非法活动而被定罪。
