攻击者对韩国银行的入侵没有采取什么新的花样。他们使用的是已知的恶意软件“DarkSeoul”,只不过是修改里面的签名就轻而易举地穿过了企业的边界防火墙和防病毒系统,利用了大家早已知道的IE漏洞“CVE-2012-1889”。
Imperva公司的资深安全策略师Barry Shteiman说:“韩国事件,就是一个恶意代码的问题。如果这个恶意代码的编写超过一天,我们只能说这个开发人员太笨了。”
这个恶意软件可以感染Windows,Unix和Linux服务器,以及其他PC,赛门铁克公司周四的报告中称。一旦代码进入计算机,将破坏硬盘上的主引导记录(MBR),使得计算机不能正常启动。
这些恶意软件如何进入银行系统的计算机系统仍是未知。入侵者一般采取的手段是将恶意软件隐藏在一封巧妙处理后的电子邮件里发给接受者,等待他/她打开邮件或访问恶意网站。其他的方式也包括通过USB盘入侵计算机系统。
不管采用何种手段,入侵者在接触到目标计算机系统之前需要绕过企业的防护系统。如果成功绕过,就可以尽情地蹂躏这些系统了。
没有一个企业的防护系统是铁板一块。公司的管理者不能仅考虑如何拒敌于国门之外,必要要考虑防御工事被突破的情况,甚至需要考虑计算机系统已经被感染后的应对。
基于这个考虑,“企业需要对软硬件系统的日志进行持续的监控和检查,发现异常的情况,”Pace大学系统系统教授James Gabberty说。此外,需要对系统进行定期地渗透测试来尝试找到系统的脆弱点,并在对手发现他们之前修复。
此外,还需要明确企业关键的数据放在哪里。对于银行系统来说,意味着找到交易数据和客户数据,把这些数据严格地保护起来,让它们不能被恶意软件轻易地访问到。 Shteiman称。
“你不可能赶走所有的老鼠,但是你可以保证你的奶酪是安全的,” Shteiman说。
不管此次韩国攻击事件的来源是哪里,攻击者的目的不是偷窃信息,而是破坏,这和伊斯兰黑客组织Cyber Fighters of Izz ad-Din al-Qassam对美国银行的DDoS攻击目的类似。当前不知道这两个攻击事件是否有联系。单纯从事件的策略上看,还是有区别的。对美国银行的DDoS攻击采取了更为复杂的攻击手段,而韩国事件攻击带来的破坏性更大。
“最终,到底采用何种复杂程度的攻击不是最主要的,”Arbor攻击的安全研究总监Dan Holden称,目的决定了手段的复杂程度。”
美国银行攻击事件的目的,是对银行系统造成持续性的破坏。而韩国银行事件,目标就是一次性破坏。