韓国の銀行と放送局に、大規模なサイバー攻撃
韓国でいくつかの銀行と放送局がサイバー攻撃を受けたことが、メディアで報じられています。
同国の ISP/電気通信プロバイダのサイトが改ざんされたほか、多くの組織のサーバーが停止しました。
改ざんされたサイトには、手の込んだアニメーション付きの Web ページが表示されます。効果音が流れて 3 つのどくろが現れ、「Whois」集団を名乗る攻撃者の手によると称するメッセージも表示されます。
この攻撃はまず、多数の Web サイトで障害が出始めるという形で明るみに出ました。銀行の利用者がオンライン口座にアクセスできなくなり、他のサイトからも停止しているという報告が相次ぎました。現時点で具体的な詳細はわかっていませんが、攻撃を受けたサイトの多くはハードディスクを消去され、該当するコンピュータは機能不全に陥りました。
シマンテックは、疑わしいマルウェアを Trojan Horse/Trojan.Jokra、WS.Reputation.1 として検出します。
現在、詳しい解析を実行しているところですが、今の段階で、このマルウェアは以下の処理を実行することが確認されています。
- ファイルマッピングオブジェクトを作成し、JO840112-CRAS8468-11150923-PCI8273V という名前で自身を参照する。
- 韓国のウイルス対策/セキュリティ製品ベンダーに関連する次の 2 つのプロセスを停止する。
- pasvc.exe
- clisvc.exe
- ドライブをすべて列挙し、MBR とそこに保存されているデータを "PRINCPES" または "HASTATI."(末尾にピリオドが付きます)という文字列で上書きする。これによって、ハードディスクの内容がすべて消去されます。
- 攻撃を受けたコンピュータに接続されている、またはマップされているドライブがあれば、そのドライブでも同様の消去処理を実行しようとする場合がある。
- "shutdown -r -t 0" を実行して、コンピュータを強制的に再起動する。MBR とドライブの内容がなくなっているため、システムは使用不可になります。
ディスク消去処理の結果は、現地で報告されたどの主要なシステム停止も変わりません。ディスク消去は目新しい手口ではなく、2012 年 8 月の事案でも、中東の多くの組織が W32.Disttrack(Shamoon)という脅威に攻撃され、ハードディスク消去によって同種の被害を受けています。
現在、この攻撃の発信源や、攻撃者が感染先に侵入した方法についての手がかりはありません。攻撃者の真の動機も不明ですが、最近は朝鮮半島で政治的緊張が高まりつつあることから、今回の攻撃は不法な攻撃の一環であるか、民族主義的なハックティビストが悪用した結果と考えられます。
シマンテックは、手に入りしだい、さらに詳しい情報をお届けする予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。