黑客組織「黑暗首爾幫」於韓戰紀念日發動網絡攻擊



今年6月25日適逢韓戰爆發63周年紀念日,朝鮮半島遭受連串網絡攻擊,其中包括多宗來自不同來源的攻擊,而針對南韓政府網站的分散式阻斷服務(DDoS)攻擊則與黑客組織「黑暗首爾幫」(DarkSeoul)及Trojan.Castov木馬程式有直接關係。

除了今年韓戰紀念日的網絡攻擊,「黑暗首爾幫」在過去四年來接連發動了多宗矚目而又專門針對南韓境內機構的大規模攻擊,包括今年3月稱為Jokra的攻擊,清洗多間南韓銀行及電視台內大量電腦硬碟的數據,以及於今年5月入侵多間南韓金融機構。

「黑暗首爾幫」已非首次在富有歷史意義的紀念日發動DDoS攻擊及清洗受襲機構硬碟的數據,該組織亦曾於美國獨立日進行同類網絡攻擊行動。


圖一:「黑暗首爾幫」過去四年網絡攻擊活動概覽

「黑暗首爾幫」的多次攻擊手法大同小異,包括以下特徵:

  • 有組織地針對受人注目的南韓目標施襲,其攻勢行動更是多階段相互關連的
  • 趁具有重大歷史意義的日子發動破壞性攻擊,例如清洗硬碟數據及DDoS攻擊
  • 以具有政治內容的字詞重複寫入硬碟以清洗原本儲存的資料
  • 採用正當的第三方更新機制,在企業網絡內四處散播
  • 採用特定的加密及反破解(obfuscation)方式
  • 利用特定的第三方網頁電郵伺服器來儲存檔案
  • 採用大同小異的指令及操控架構

「黑暗首爾幫」所發動的攻擊均展現了高度智慧和協調能力,而且往往展示出精湛的技術。引述南韓廣泛傳媒報道指,有關方面的調查結果顯示攻擊者受北韓指使。Symantec預料「黑暗首爾幫」的攻擊行動無論攻擊者是否受北韓指使,他們均有政治動機,而且有龐大的財政資助作為後盾,將繼續通過網絡對南韓境內的機構發動攻擊及進行破壞。全國性的大規模網絡攻擊活動以往較為罕見,但也有全球知名的例子,包括Stuxnet及Shamoon(W32.Disttrack)等;然而,「黑暗首爾幫」在多年來進行了連串舉世矚目而且破壞力極強的攻擊,可說是前無古人。

圖二:Castov DDoS攻擊示意圖


通過Castdos木馬程式所發動的DDoS攻擊特點如下:

  1. 用戶瀏覽已被入侵的網站後,便會自動下載已植入Castov木馬程式的SimDisk.exe,這個原本是正當的應用程式,但被植入了木馬程式。
  2. SimDisk.exe會在受攻擊的系統內建立兩個檔案,包括不含木馬程式的正當應用程式SimDisk.exe,以及已植入Downloader.Castov木馬程式的SimDiskup.exe。
  3. 之後,Downloader.Castov木馬程式便會連接到另一台同樣已被入侵的伺服器,並下載同樣已植入Downloader.Castov木馬程式的C.jpg檔案,這個檔案表面上是圖像檔,但其實是一個可執行的程式檔。
  4. 這個網絡威脅利用Tor網絡下載已植入Castov木馬程式的Sermgr.exe。
  5. Castov木馬程式在Windows的系統資料夾內建立同樣已植入Castov 木馬程式的Ole[隨機名稱].dll 檔案。
  6. Castov木馬程式從寄存ICEWARP網頁電郵的網站伺服器下載CT.jpg檔案。ICEWARP網頁電郵存在一個已公開的漏洞,因此早已被入侵。CT.jpg檔案包含一個時間標記,是Castov木馬程式協調同步攻擊時間的方式。
  7. 到了指定時間,Castov木馬程式便會在已被入侵的系統內建立已植入Castdos 木馬程式的Wuauieop.exe。
  8. Castdos木馬程式開始以大量DNS請求令Gcc.go.kr DNS伺服器超載及不勝負荷,有效地以DDoS攻擊令多個網站癱瘓。

關於Symantec

Symantec致力於保護全球的資訊,並且是全球領先的安全、備份和可用性解決方案供應商。Symantec創新的產品和服務從最小的流動裝置,到企業數據中心,以至雲端應用系統,在任何環境下都能為用戶及其訊息提供保護。Symantec全球知名資料防護、身分保護技術及各類通訊的保安技術方案,在緊密連繫的世界中給予客戶充份的信心。欲了解更多相關詳情,請瀏覽www.symantec.com,或登入go.symantec.com/socialmedia與Symantec作深入交流。

###

編輯須知:如想索取更多有關Symantec Corporation及其產品的資訊,請登入Symantec新聞室,網址 http://www.symantec.com/news。網站內標示的所有價格均以美元計算且僅於美國境內有效。


Symantec及Symantec標誌為Symantec Corporation或其附屬公司在美國及其他國家的商標或註冊商標。其他所有品牌及產品名稱為有關持有人所擁有的商標或註冊商標。

前瞻性聲明:產品的任何前瞻性計劃指示皆屬初步資訊,所有未來發行日期皆為暫定且可能會變更。Symantec會持續評估產品的任何未來版本,或對於產品功能或特性的任何計劃修改,不一定會進行也不應視為Symantec的肯定承諾,更不應作為購買決策的依據。









Arlo Pro 網絡攝錄鏡頭 - 防水、內置電池、無線
詳情請點擊:http://www.anlander.com


此文章首發於 TechRitual;標題:黑客組織「黑暗首爾幫」於韓戰紀念日發動網絡攻擊;內容贊助:NETGEAR orbi,Mesh WiFi 子母機設計打通村屋