高潮不斷:攻擊索尼的“格盤病毒”又重創(chuàng)了韓國核電站
責(zé)編:admin |2014-12-25 13:12:0112月21日,一名黑客通過Twitter向韓國水電與核電公司發(fā)出嚴(yán)重警告,要求官方立即停止運(yùn)行核電站。同時(shí)黑客還公開了包括兩座核電站部分設(shè)計(jì)圖在內(nèi)的4份壓縮檔案。值得一提的是,這次事件中所用的木馬竟然又是“格盤病毒”——MBR Wiper。
為什么又用?因?yàn)榍安痪敏[得沸沸揚(yáng)揚(yáng)的針對(duì)索尼影視的攻擊中,黑客使用的正是“格盤病毒”。那么究竟這兩起事件之間有沒有關(guān)聯(lián)呢?
在這次韓國核電站黑客攻擊事件中,攻擊者使用了一款病毒(惡意軟件),該病毒會(huì)擦除感染機(jī)器的主引導(dǎo)記錄(MBR),因此我們稱它為“格盤病毒”。
“格盤病毒”是通過文杰文字處理軟件(Hangul Word Processor,HWP)感染電腦的。文杰Office是由韓軟公司(Hansoft)開發(fā)的類似微軟Office的一套軟件,在韓國的占有率很高。
為了讓受害者打開這些文件,攻擊者使用了大量的社會(huì)工程學(xué)技巧。以下就是從受害者收到魚叉式釣魚郵件開始的一連串攻擊過程。
趨勢(shì)科技將MBR wiper病毒識(shí)別為TROJ_WHAIM.A。除了修改MBR,它還會(huì)覆蓋特定類型的文件。它將自己偽裝成系統(tǒng)服務(wù),確保每次重啟都能正常運(yùn)行。它使用真實(shí)存在的系統(tǒng)服務(wù)所使用的文件名、服務(wù)名和服務(wù)描述,不細(xì)看可能察覺不到異常,以此規(guī)避檢測(cè)。
這次核電站遭到的“格盤病毒”MBR攻擊雖然罕見,但似曾相識(shí)。2013年3月的幾次針對(duì)多個(gè)韓國政府部門的攻擊中,我們也看到過MBR覆蓋。這次攻擊中所使用的惡意軟件同樣覆蓋MBR引導(dǎo)記錄,它會(huì)使用一系列“PRINCPES”,“HASTATI”或者“PR!NCPES”字符串覆蓋MBR。
這次的攻擊與之前的攻擊是有相似之處:三次的MBR攻擊中,惡意軟件使用了字符串不斷重復(fù)覆蓋MBR。在韓國核電站攻擊中,黑客重復(fù)了“Who Am I?”字符串,而在索尼攻擊事件中重復(fù)的是“0xAAAAAAAA”。
針對(duì)索尼影業(yè)的黑客攻擊被指是因?yàn)橹S刺朝鮮的電影《刺殺金正恩》。雖然我們不能夠確定這種觀點(diǎn)的真實(shí)性,但在這次攻擊中我們發(fā)現(xiàn)了與之相似的地方。
我們注意到某個(gè)Twitter賬戶向韓國核電站傳達(dá)指令,如果不滿足他們的要求,就要發(fā)布竊取到的核電公司的文件。黑客其中的一個(gè)要求就是關(guān)閉核電站(韓國29%的電力是由核電站提供的)。
尚未有確切歸因
雖然最近這幾起攻擊中有非常明顯的相似之處,但我們還是不能肯定三次攻擊的幕后主使就一定有關(guān)聯(lián)。索尼安全事件被媒體廣泛報(bào)道,所以也有可能導(dǎo)致一個(gè)攻擊事件“引發(fā)”了新的攻擊,他們不一定是有關(guān)聯(lián)的。
這些攻擊中,MBR wiper病毒越來越顯眼,一個(gè)深度防御的網(wǎng)絡(luò)應(yīng)該要把這些威脅考慮進(jìn)去了。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧