資安公司：南韓網路癱瘓事件手法不同以往 以破壞摧毀為目的

南韓在本月 20 日發生主要電視台及多家銀行電腦被駭事件，據網路攻擊防護廠商FireEye® 公司表示，不同於過去事件，這次惡意軟體攻擊南韓的重心在癱瘓、摧毀被攻擊的系統，而非竊取資料。

FireEye 研究部門總監 Rob Rachwald 指出，過去，駭客採用分散式阻斷服務 (DDoS) 的手法，攻佔一個國家的基礎設施，2007 年對愛沙尼亞的網路攻擊，2012 年宣稱由伊朗駭客軍團對美國數十家銀行發動的攻擊等，均屬此類。

Rachwald 說，這次針對南韓的攻擊，重點是損毀主開機紀錄 (MBR)，抹除硬碟所有資料，並造成電腦當機。同時，此一惡意軟體有定時功能，也就是軟體原本在睡眠狀態中，但設定在特定時間啟動－南韓時間 3 月 20 日下午 2 點

啟動後該惡意軟體即檢查 Windows 版本，發動一個執行緒，再直接寫入硬碟中，進而毁掉主開機紀錄。最後，此軟體具備回避功能，它會檢查並停用韓國流行的防毒產品 — AhnLabs。FireEye 公司強調，這說明駭客擺明是衝著南韓而來。

FireEye 指出，他們扺擋了這次攻擊，並偵測、命名此惡意軟體攻擊為 Trojan.Hastati。FireEye 說，這個惡意軟體不會進行 CnC 回撥 (callback)，完全以破壞中毒主機為目標。它清點 Microsoft Vista 及其後續版本 (Windows 7 / 8) 系統上的所有檔案，將關鍵字「HASTATI」覆寫到所有檔案上，接著刪除被覆寫的檔案，使資料無法復原。而對較早期的 Windows 版本，該惡意軟體會覆寫邏輯磁碟，在損毀/覆寫主開機紀錄後將系統重新開機，進而癱瘓系統。

根據南韓所做調查，發現惡意代碼來自中國，並相信是北韓所做。《韓聯社》報導，政府相關人士表示，由於南韓基礎建設控制系統採封閉式網路，因此北韓鎖定相關合作企業的電腦進行攻擊，並預期未來還會針對交通、電力及金融網路的薄弱環結，進行多方面攻擊。