3/20下午兩點,駭客透過病毒DarkSeoul(亦有資安廠商稱其為Jokra)入侵數家南韓企業的伺服器,並癱瘓將近3萬2千台電腦,導致這些企業的網路和服務一度中斷,隨後則陸續回復,不過新韓銀行的部分網路銀行和ATM服務,至3/21都還是停止服務。
McAfee分析報告指出,該病毒感染電腦後,會在硬碟的主要開機磁區(MBR, Master Boot Record,)上複寫「PRINCPES」、「PR!NCPES」和「HASTATI」等字元,隨後強迫執行關機指令,由於MBR已遭修改,因此無法重新啟動電腦。
不過,DarkSeoul並沒有任何與網路通訊相關的功能,所以無法與遠端主機連線,此外,該病毒並沒有在系統上做其他修改動作,比如拖曳文件(dropping files)或是更改登錄機碼(registry keys),其攻擊目的僅是要讓電腦無法使用而已。
攻擊發生後,韓國通訊廣播委員會(KCC, Korea Communications Commission)召開緊急說明,指出該攻擊行為屬於APT並非過去較常遭遇的DDoS攻擊,同時將國家的網路攻擊警報從第二級提升到第三級的「注意(caution)」,除了增加相關人力外,政府也組成聯合調查小組展開調查。
KCC於3/21表示,駭客IP位址來自中國,不過隔天便對外修正,駭客利用的IP並非來自中國,而是來自遭駭機構之一:農協銀行的內部電腦,情報專家指出,駭客常會透過利用其他國家的IP以掩蓋其攻擊行動,南韓官員則認為,攻擊來自其他國家,而北韓被認為是最有可能的發動者。
事實上,於2009、2011年時南韓也遭遇過嚴重的網路攻擊,當時許多分析結果就把矛頭指向北韓。
南北韓雙方關係近日來尤其緊張,日前北韓發動核武試驗,引起聯合國欲對其展開國際制裁,北韓隨後揚言將展開反擊,此外,北韓官方的中央通信社(KCNA)在3/15指控,美國和南韓聯合對北韓的數個官方網站進行持續且強力的攻擊,北韓動作頻頻,更加深外界認為北韓與此事件有關的推斷,不過25日上午,南韓警方已經證實,駭客來自美國與歐洲共四個國家。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=7372
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=7372
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
正新電腦 TEL : 04-2473-8309
沒有留言:
張貼留言