https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

南韓遭大規模病毒攻擊 駭客來自歐美四國

2013 / 03 / 25
編輯部
南韓遭大規模病毒攻擊  駭客來自歐美四國

南韓於3/20日遭受駭客攻擊,包括6間金融機構及3家電視台都受到影響,因此暫停服務,受害者有新韓銀行、農協銀行、濟洲銀行銀行、KBS(韓國放送公社)、MBC(韓國文化廣播公司)和YTN(聯合電視新聞臺)…等,堪稱近年來規模最大的網路攻擊。

3/20下午兩點,駭客透過病毒DarkSeoul(亦有資安廠商稱其為Jokra)入侵數家南韓企業的伺服器,並癱瘓將近3萬2千台電腦,導致這些企業的網路和服務一度中斷,隨後則陸續回復,不過新韓銀行的部分網路銀行和ATM服務,至3/21都還是停止服務。

Sophos表示,DarkSeoul特徵是會刪除硬碟中的資料,並讓系統停擺,不過該病毒不是很複雜,而且早在一年前就被偵測到。其手法是,駭客先入侵防毒軟體廠商的病毒碼更新主機,再利用更新病毒檔的正常管道,將惡意程式傳送到企業電腦中,等到攻擊行動時間(即3/20下午2點)一到就自動啟動。

McAfee分析報告指出,該病毒感染電腦後,會在硬碟的主要開機磁區(MBR, Master Boot Record,)上複寫「PRINCPES」、「PR!NCPES」和「HASTATI」等字元,隨後強迫執行關機指令,由於MBR已遭修改,因此無法重新啟動電腦。

不過,DarkSeoul並沒有任何與網路通訊相關的功能,所以無法與遠端主機連線,此外,該病毒並沒有在系統上做其他修改動作,比如拖曳文件(dropping files)或是更改登錄機碼(registry keys),其攻擊目的僅是要讓電腦無法使用而已。

攻擊發生後,韓國通訊廣播委員會(KCC, Korea Communications Commission)召開緊急說明,指出該攻擊行為屬於APT並非過去較常遭遇的DDoS攻擊,同時將國家的網路攻擊警報從第二級提升到第三級的「注意(caution)」,除了增加相關人力外,政府也組成聯合調查小組展開調查。

KCC於3/21表示,駭客IP位址來自中國,不過隔天便對外修正,駭客利用的IP並非來自中國,而是來自遭駭機構之一:農協銀行的內部電腦,情報專家指出,駭客常會透過利用其他國家的IP以掩蓋其攻擊行動,南韓官員則認為,攻擊來自其他國家,而北韓被認為是最有可能的發動者。

事實上,於2009、2011年時南韓也遭遇過嚴重的網路攻擊,當時許多分析結果就把矛頭指向北韓。南北韓雙方關係近日來尤其緊張,日前北韓發動核武試驗,引起聯合國欲對其展開國際制裁,北韓隨後揚言將展開反擊,此外,北韓官方的中央通信社(KCNA)在3/15指控,美國和南韓聯合對北韓的數個官方網站進行持續且強力的攻擊,北韓動作頻頻,更加深外界認為北韓與此事件有關的推斷,不過25日上午,南韓警方已經證實,駭客來自美國與歐洲共四個國家。