南韓遭大規模病毒攻擊 駭客來自歐美四國

台灣台中市
Visit Website Contact Author
fallback-no-image-2312

你在乎網路的隱私權嗎?
* 你的資料還在裸奔嗎?
* 你擔心程式被竊取嗎?
* 你擔心機密文件被駭客入侵嗎?
* 資訊安全專家 – 正新電腦 – 將提供給您資訊保安的產品和服務。

南韓於3/20日遭受駭客攻擊,包括6間金融機構及3家電視台都受到影響,因此暫停服務,受害者有新韓銀行、農協銀行、濟洲銀行銀行、KBS(韓國放送公社)、MBC(韓國文化廣播公司)和YTN(聯合電視新聞臺)…等,堪稱近年來規模最大的網路攻擊。

 

3/20下午兩點,駭客透過病毒DarkSeoul(亦有資安廠商稱其為Jokra)入侵數家南韓企業的伺服器,並癱瘓將近3萬2千台電腦,導致這些企業的網路和服務一度中斷,隨後則陸續回復,不過新韓銀行的部分網路銀行和ATM服務,至3/21都還是停止服務。

 

Sophos表示,DarkSeoul特徵是會刪除硬碟中的資料,並讓系統停擺,不過該病毒不是很複雜,而且早在一年前就被偵測到。其手法是,駭客先入侵防毒軟體廠商的病毒碼更新主機,再利用更新病毒檔的正常管道,將惡意程式傳送到企業電腦中,等到攻擊行動時間(即3/20下午2點)一到就自動啟動。

 

McAfee分析報告指出,該病毒感染電腦後,會在硬碟的主要開機磁區(MBR, Master Boot Record,)上複寫「PRINCPES」、「PR!NCPES」和「HASTATI」等字元,隨後強迫執行關機指令,由於MBR已遭修改,因此無法重新啟動電腦。

 

不過,DarkSeoul並沒有任何與網路通訊相關的功能,所以無法與遠端主機連線,此外,該病毒並沒有在系統上做其他修改動作,比如拖曳文件(dropping files)或是更改登錄機碼(registry keys),其攻擊目的僅是要讓電腦無法使用而已。

 

攻擊發生後,韓國通訊廣播委員會(KCC, Korea Communications Commission)召開緊急說明,指出該攻擊行為屬於APT並非過去較常遭遇的DDoS攻擊,同時將國家的網路攻擊警報從第二級提升到第三級的「注意(caution)」,除了增加相關人力外,政府也組成聯合調查小組展開調查。

 

KCC於3/21表示,駭客IP位址來自中國,不過隔天便對外修正,駭客利用的IP並非來自中國,而是來自遭駭機構之一:農協銀行的內部電腦,情報專家指出,駭客常會透過利用其他國家的IP以掩蓋其攻擊行動,南韓官員則認為,攻擊來自其他國家,而北韓被認為是最有可能的發動者。

 

事實上,於2009、2011年時南韓也遭遇過嚴重的網路攻擊,當時許多分析結果就把矛頭指向北韓。南北韓雙方關係近日來尤其緊張,日前北韓發動核武試驗,引起聯合國欲對其展開國際制裁,北韓隨後揚言將展開反擊,此外,北韓官方的中央通信社(KCNA)在3/15指控,美國和南韓聯合對北韓的數個官方網站進行持續且強力的攻擊,北韓動作頻頻,更加深外界認為北韓與此事件有關的推斷,不過25日上午,南韓警方已經證實,駭客來自美國與歐洲共四個國家。

友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=7372

 

SafeNet資訊安全保護鎖系列  , 歡迎來電借測 !

正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。

更多產品資訊來源 : www.pronew.com.tw

正新電腦   TEL : 04-2473-8309