粉絲團
六月二十五日,適逢韓戰開戰 63 周年,南韓政府機構遭受一系列網路攻擊。賽門鐵克發現這波網路攻擊是由數個攻擊者發起,可能與南韓駭客犯罪組織 DarkSeoul 以及木馬程式 Trojan Castov 有關。
近四年來在南韓發生多起極具破壞力的網路攻擊事件,都與 DarkSeoul 有關,包括今年三月針對南韓銀行、電視網的木馬程式 Jokra ,以及今年五月針對金融機構的攻擊事件。 DarkSeoul 的犯罪手法有固定模式,如階段式的攻擊活動、針對南韓大型組織以具破壞性的病毒進行分布式連結攻擊,破壞手段包括銷毀清空硬碟資料、 DDoS 阻斷式攻擊等。此外,選在特殊紀念日發動攻擊也是 DarkSeoul 的慣用手法, DarkSeoul 之前也曾在美國國慶日發動類似攻擊。
國家級規模的攻擊行為相當罕見, Stuxnet 和 Shamoon ( W32.Disttrack )就是兩個典型案例,而賽門鐵克認為 DarkSeoul 也屬此類。 DarkSeoul 將大型組織視為目標,破壞力強且具政治意涵的攻擊模式,可看出有金援單位在背後支持,無論 DarkSeoul 是否與北韓有關,賽門鐵克都認為該組織將持續發動攻擊。
DarkSeoul 近四年的活動概況
DarkSeoul 的攻擊手法歸納如下:
- 對南韓大型組織進行多階段式的分布式連結攻擊
- 以具破壞性的電腦病毒攻擊,如清空銷毀硬碟資料、在特定紀念日發動 DDoS 阻斷式攻擊。
- 以政治性意涵字串覆蓋硬碟資料
- 利用合法的第三單位之修補機制( patching mechanisms )在企業/組織內部網路進行散佈
- 特定加密及隱匿方式
- 利用特定第三方網路郵件伺服器儲存檔案
- 利用相似的指揮與控制架構
