12月21日,一名黑客通过Twitter向韩国水电与核电公司发出严重警告,要求官方立即停止运行核电站。同时黑客还公开了包括两座核电站部分设计图在内的4份压缩档案。值得一提的是,这次事件中所用的木马竟然又是“格盘病毒”——MBR Wiper。
为什么又用?因为前不久闹得沸沸扬扬的针对索尼影视的攻击中,黑客使用的正是“格盘病毒”。那么究竟这两起事件之间有没有关联呢?
格盘病毒是如何感染计算机的
在这次韩国核电站黑客攻击事件中,攻击者使用了一款病毒(恶意软件),该病毒会擦除感染机器的主引导记录(MBR),因此我们称它为“格盘病毒”。
“格盘病毒”是通过文杰文字处理软件(Hangul Word Processor,HWP)感染电脑的。文杰Office是由韩软公司(Hansoft)开发的类似微软Office的一套软件,在韩国的占有率很高。
为了让受害者打开这些文件,攻击者使用了大量的社会工程学技巧。以下就是从受害者收到鱼叉式钓鱼邮件开始的一连串攻击过程。
病毒行为
趋势科技将MBR wiper病毒识别为TROJ_WHAIM.A。除了修改MBR,它还会覆盖特定类型的文件。它将自己伪装成系统服务,确保每次重启都能正常运行。它使用真实存在的系统服务所使用的文件名、服务名和服务描述,不细看可能察觉不到异常,以此规避检测。
图1:病毒所使用的服务名称
多次攻击间的异同
这次核电站遭到的“格盘病毒”MBR攻击虽然罕见,但似曾相识。2013年3月的几次针对多个韩国政府部门的攻击中,我们也看到过MBR覆盖。这次攻击中所使用的恶意软件同样覆盖MBR引导记录,它会使用一系列“PRINCPES”,“HASTATI”或者“PR!NCPES”字符串覆盖MBR。
这次的攻击与之前的攻击是有相似之处:三次的MBR攻击中,恶意软件使用了字符串不断重复覆盖MBR。在韩国核电站攻击中,黑客重复了“Who Am I?”字符串,而在索尼攻击事件中重复的是“0xAAAAAAAA”。
图2:感染的机器启动时看到的‘Who Am I’信息
与朝鲜有关?
针对索尼影业的黑客攻击被指是因为讽刺朝鲜的电影《刺杀金正恩》。虽然我们不能够确定这种观点的真实性,但在这次攻击中我们发现了与之相似的地方。
我们注意到某个Twitter账户向韩国核电站传达指令,如果不满足他们的要求,就要发布窃取到的核电公司的文件。黑客其中的一个要求就是关闭核电站(韩国29%的电力是由核电站提供的)。
尚未有确切归因
虽然最近这几起攻击中有非常明显的相似之处,但我们还是不能肯定三次攻击的幕后主使就一定有关联。索尼安全事件被媒体广泛报道,所以也有可能导致一个攻击事件“引发”了新的攻击,他们不一定是有关联的。
这些攻击中,MBR wiper病毒越来越显眼,一个深度防御的网络应该要把这些威胁考虑进去了。
12月23日更新
在随后的调查分析中我们发现,“格盘病毒”中的恶意进程TROJ_WHAIM.A会检查系统时间是不是晚于2014年12月10日 11:00 AM,如果是,它就会把注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\PcaSvcc\finish值设为1,然后开始覆盖MBR;如果不是,它会等一分钟,然后再检查。
所以除了MBR这个相似点以外,另一个与2013年3月事件相似的地方在于程序的“定时炸弹”功能,即检查系统时间,一旦到了某个时间,就开始运行。