攻击索尼的“格盘病毒”又重创了韩国核电站

　　12月21日，一名黑客通过Twitter向韩国水电与核电公司发出严重警告，要求官方立即停止运行核电站。同时黑客还公开了包括两座核电站部分设计图在内的4份压缩档案。值得一提的是，这次事件中所用的木马竟然又是“格盘病毒”——MBR Wiper。

　　为什么又用？因为前不久闹得沸沸扬扬的针对索尼影视的攻击中，黑客使用的正是“格盘病毒”。那么究竟这两起事件之间有没有关联呢？

　　格盘病毒是如何感染计算机的

　　在这次韩国核电站黑客攻击事件中，攻击者使用了一款病毒(恶意软件)，该病毒会擦除感染机器的主引导记录(MBR)，因此我们称它为“格盘病毒”。

　　“格盘病毒”是通过文杰文字处理软件(Hangul Word Processor，HWP)感染电脑的。文杰Office是由韩软公司(Hansoft)开发的类似微软Office的一套软件，在韩国的占有率很高。

　　为了让受害者打开这些文件，攻击者使用了大量的社会工程学技巧。以下就是从受害者收到鱼叉式钓鱼邮件开始的一连串攻击过程。

　　攻击索尼的“格盘病毒”又重创了韩国核电站

　　病毒行为

　　趋势科技将MBR wiper病毒识别为TROJ_WHAIM.A。除了修改MBR，它还会覆盖特定类型的文件。它将自己伪装成系统服务，确保每次重启都能正常运行。它使用真实存在的系统服务所使用的文件名、服务名和服务描述，不细看可能察觉不到异常，以此规避检测。

　　多次攻击间的异同

　　这次核电站遭到的“格盘病毒”MBR攻击虽然罕见，但似曾相识。2013年3月的几次针对多个韩国政府部门的攻击中，我们也看到过MBR覆盖。这次攻击中所使用的恶意软件同样覆盖MBR引导记录，它会使用一系列“PRINCPES”，“HASTATI”或者“PR！NCPES”字符串覆盖MBR。

　　这次的攻击与之前的攻击是有相似之处：三次的MBR攻击中，恶意软件使用了字符串不断重复覆盖MBR。在韩国核电站攻击中，黑客重复了“Who Am I？”字符串，而在索尼攻击事件中重复的是“0xAAAAAAAA”。

　　与朝鲜有关？

　　针对索尼影业的黑客攻击被指是因为讽刺朝鲜的电影《刺杀金正恩》。虽然我们不能够确定这种观点的真实性，但在这次攻击中我们发现了与之相似的地方。

　　我们注意到某个Twitter账户向韩国核电站传达指令，如果不满足他们的要求，就要发布窃取到的核电公司的文件。黑客其中的一个要求就是关闭核电站(韩国29%的电力是由核电站提供的)。

　　尚未有确切归因

　　虽然最近这几起攻击中有非常明显的相似之处，但我们还是不能肯定三次攻击的幕后主使就一定有关联。索尼安全事件被媒体广泛报道，所以也有可能导致一个攻击事件“引发”了新的攻击，他们不一定是有关联的。

　　这些攻击中，MBR wiper病毒越来越显眼，一个深度防御的网络应该要把这些威胁考虑进去了。