2013年5月2日 星期四

韓國史上最大APT駭客事件


韓國史上最大APT駭客事件

6家企業,超過48,700臺電腦、伺服器與ATM伺服器接連當機,硬碟開機磁區損毀,無法重新提供服務,數千臺ATM故障,網路銀行與信用卡服務也受創

3月20日,下午兩點,韓國KBS電視臺的上千名員工紛紛發現正在使用的個人電腦突然關機,而且重新開機後螢幕一片漆黑,只跳出一行字「ErrorCode 8002: Invalid MBR」,意味著這臺電腦的硬碟開機磁區已經損毀了。不只KBS如此,韓國另外兩家電視臺MBC和YTN也同樣在2點前後有大批個人電腦當機,這個消息隨後就登上了韓國電視新聞。

同一時間,新韓銀行、農協銀行和濟州銀行也合計有上萬臺個人電腦故障,部分銀行伺服器停擺,網路銀行交易中斷,甚至導致ATM服務自動關機。新韓銀行是擁有1千多家分行的全國性商業銀行,遭受攻擊後,中央伺服器當機當機、金融交易受損,網路銀行停擺、57間旗下商店營運中斷,多處ATM和POS系統故障。

農協銀行則相當於臺灣的農會信用合作社,在韓國各地廣設超級市場,在這次攻擊中災情嚴重,光是西大門的農協銀行本行就有2,000臺個人電腦被駭故障,全國各地有1成作業員因電腦故障而無法作業,遍布韓國各地近半數的ATM被駭故障,數量多達4,500臺,導致多處民眾無法領款。甚至農協一度全面關閉分行的網路服務來阻止受駭災情擴大。

濟州銀行則是濟州島上重要的地方銀行。這些銀行的內部電腦和少數伺服器停擺,導致部分ATM無法提款,以及相關行動銀行和網路銀行服務中斷。

韓國以國家級戰爭來因應駭客攻擊
韓國總統聽取簡報後,也啟動了國家危機管控機制,將這次攻擊視為國家級的戰爭行為,韓國國防部也因此提高了「情報作戰防禦態勢」等級,從4級提升到3級。趨勢科技表示,這是韓國史上最大規模的駭客攻擊。甚至有不少韓國資安業者將這次事件稱為「韓國黑暗日」(Dark Korea),來形容當天韓國多項金融服務與電視媒體停擺的狀態。

根據韓國放送通信委員會KCC(相當臺灣NCC)初步調查,這是一波大規模的APT(Advanced Persistent Threat,先進持續性威脅)攻擊,第一時間的初步統計,受害電腦,包括個人電腦、ATM電腦和伺服器等數量高達32,000臺,在4月10日發布的期中調查報告更發現,累計的受駭電腦數量更是達到48,700臺。

電視臺災情也很慘重,KBS電視臺有5,000員工電腦故障,也影響了播報作業。MBC電視臺為了預防資料受損,高層更下令要求所有員工關閉還未受損的電腦,連帶影響了新聞播報作業。YTN電視臺則有5~6臺伺服器受創,導致播報系統無法使用。

雖然這幾家銀行大多在3月20日當天事發後1~2小時就能開始恢復局部營運,但是為了搶救系統,這幾家銀行紛紛被迫將營業時間延後到當天下午6時。隔天21日,仍有部分電視臺網路受損還未復原,而農協銀行也有16間分行尚未恢復,一直要到事發後的第四天,也就是3月24日下午6點,農協銀行才完全恢復營運,並開始採取更多防護措施。若要修復所有受損的個人電腦,甚至清查掃毒等措施,長期派駐韓國首爾的資安公司FireEye亞太及日本區公共事業部區經理Gene Casady預估,這幾家企業至少需要一個禮拜才能完全恢復。

但是對韓國而言,駭客的攻擊其實還沒結束,到了3月26日,駭客轉移攻擊目標,改為鎖定政府機關的官方網站,接連在26日當天,從早上10點40分開始,陸續傳出韓國政府機關網站塞爆而無法瀏覽的情況,包括韓國財政部等中央部會,或是多個韓國各地直轄市,如京畿、仁川、光州、全南、全北、江原等市的官網都遭塞爆流量而無法瀏覽,另外也有多家電臺官方網站無法瀏覽,如自由北朝鮮放送電臺、北朝鮮改革放送電臺等。

這些政府機關和媒體的網站陸續在1、2天內回復正常,3月29日中午,韓國政府民官軍聯合應變小組正式宣布,一切回復常態,韓國政府並於4月10日發布駭客事件期中調查報告。


下午2點,惡意軟體啟動,銷燬硬碟MBR導致無法開機

臺灣McAfee技術經理沈志明表示,在第一波攻擊中當機損害的電腦被植入了惡意程式,這些惡意軟體原本處在睡眠狀態,但是被設定於2013年3月20日下午2點時啟動發動攻擊。惡意軟體被喚醒後,會先確認電腦目前作業系統的版本,判斷是否為Windows作業系統的版本,接著損壞硬碟主要開機記錄,以「PRINCPES」、「HASTATI」和「PR!NCPES」字元複寫電腦主要開機磁區MBR(Master Boot Records),接著執行Windows的關機指令shutdown -r -t 0。這些受害的電腦關機後,因為開機磁區已被修改,因此就無法開機。

惡意程式不只攻擊Windows個人電腦,也會攻擊Solaris Linux伺服器,以及Sun OS、AIX或HP-UX等Unix系統的伺服器,這類非Windows主機大多負責執行企業的重要系統。趨勢科技在官網部落格表示,惡意程式同樣會先嘗試刪除伺服器的開機磁區,若無法得逞則會刪除系統核心目錄,如/kernel、/usr、/etc、/home等系統運作必要目錄的檔案。不只造成伺服器當機,甚至會刪除伺服器內的應用系統資料,就有一家韓國企業的甲骨文資料庫因此而損壞。

企業內部防毒更新主機遭駭,反成為散毒管道
Gene Casady表示,這起攻擊事件能在同一時間造成數萬臺電腦當機,是因為駭客使了一個罕見的手法。駭客先入侵企業內部的病毒碼更新主機,再利用更新病毒檔的正常管道,將惡意程式傳送到企業裏的每一臺個人電腦或伺服器上。因為企業信賴這些更新主機,因此不會阻擋派送出來的程式,甚至沒有再多一道安全檢查就直接放行。駭客也就利用這個企業毫無防備的弱點,將惡意程式直接送進企業裏,並且讓每臺電腦都安裝了惡意程式,等到攻擊行動時間一到就自動啟動。

攻擊剛發生後進行初期調查時,曾經有一度,讓資安專家誤以為駭客侵入了防毒軟體公司,再透過防毒軟體公司內部的病毒碼更新主機來派送惡意程式給企業。不過,不少資安公司後來進一步分析更多樣本和軌跡紀錄後發現,這次事件的問題其實是企業內部的防毒軟體更新主機被駭。

被駭淪陷的防毒更新主機軟體包括韓國防毒軟體廠商AhnLab(安博士)的AhnLab Policy Center資安政策管理平臺,以及另一家防毒軟體公司ViRobot的資安管理平臺HAURI ViRobot ISMS,這兩套都可以用來派送防毒更新程式,或是遠端管理企業內部電腦,但最終都被駭客當成跳板來攻擊企業內部的電腦。

AhnLab也在3月29日承認出錯,因為APC資安管理平臺有漏洞,導致駭客能繞過登入驗證,取得管理權限來派送惡意程式。甚至資安管理平臺的派送過程沒有檢查派送的修補程式是否為防毒軟體公司釋出的檔案,也就讓駭客有機可趁,能輕易的偷渡惡意程式到員工的電腦上。

面對這種新的攻擊模式,Gene Casady認為,就算是已經部署網頁過濾防護,也難以抵擋這種攻擊,因為企業會把病毒更新主機、弱點修補更新主機,都列為安全的白名單,一旦駭客的惡意程式潛入了企業內網後,循此管道入侵,根本不會被攔截。

駭客為了鎖定這幾家企業發動攻擊,很早就透過各種方式潛入這幾家銀行和電視臺,伺機而動,等到發現了這幾家企業內部的這個致命漏洞後,暗中部署,然後再一口氣同時發動攻擊,造成一次性的大規模破壞。

潛伏8個月入侵上千次,只為發動一次大規模破壞
在4月10日,韓國科學與資訊科技未來規畫部(Ministry of Science ICT and Future Planning,MSIP)代表民官軍聯合應變小組,發布了320駭客事件期中調查報告,揭露了更多精心策畫的攻擊入侵手法。

MSIP在這份調查報告中指出,北韓主導了此次攻擊事件。因為駭客攻擊時所使用的IP位址175.45.178.XX,註冊地址為平壤柳京洞。民官軍聯合小組的技術人員發現,這次攻擊路徑涉及韓國25個地點、海外24個地點,部分地點與北韓之前發動網路攻擊所使用的地址相同,參考眾多證據後,推論此攻擊是由北韓主導。

特別的是,這次攻擊至少歷經了8個月的精心策畫和暗中執行。調查報告指出,至少有6臺北韓電腦從2012年6月28日開始,就不斷入這些受害金融機構或電臺,來搜集目標企業的資訊,駭客至少成功潛入了1,590次,而且從受駭電腦中發現的惡意程式多達76種,其中9種具有破壞性,其餘惡意程式則負責監視、入侵或其他用途。有18種惡意程式還是已知的惡意程式。

甚至韓國資安專家社群IssueMakersLab比對更早之前的惡意程式散播行為、Botnet 殭屍網路感染手法特徵、加密機制、程式碼慣用寫法等特徵,推論這次320韓國黑暗日的攻擊,是同一個駭客組織持續6年精心布局,長期潛伏,匿蹤窺探企業弱點後所發動的組織性網路戰爭,才能夠一次就造成如此大規模的設備癱瘓。IssueMakersLab成員Simon Choi表示:「精心策畫的網路戰爭已經出現在韓國了!」

駭客如何突破企業防護網,發掘出企業防禦漏洞,進而找出快速大量破壞的手段,接下來的文章將為你解密韓國320駭客攻擊手法。

轉載自《iThome》