ニュース

韓国の大規模サイバー攻撃、PCのマスターブートレコードを復旧困難にさせるウイルス

韓国の銀行などの金融機関やテレビ局は20日、PCが次々に起動できなくなったり、深刻なエラーを示す「ブルースクリーン」や「OSが見つからない」という表示がされるなどコンピュータやサーバーなど3万2000台に深刻な被害をうける事件が発生していました。
シマンテックでいう「Trojan Horse/Trojan.Jokra」と「WS.Reputation.1」のマルウエア、トレンドマイクロでいう「TROJ_INJECTO.BDE」という不正プログラムがマスター・ブート・レコード(MBR)を上書きしたしてしまうといいます。MBRはパソコンの起動時に最初に読み込まれるハードディスク上の部分(セクタ)であり、これが書き換えられていることでPCを再起動させた際に、破壊されたMBRが原因で起動できなくなくなるとしています。(ゆえに、記事によってはハードディスクを破壊するタイプのウイルスと説明されていたりします。)
韓国の大規模サイバー攻撃、PCのマスターブートレコードを復旧困難にさせるウイルス
この不正プログラムは以前からあるもので、特徴としてはMBRを狙うことで「感染コンピュータの復旧を困難かつ長期化させる」事になるといいます。
また、韓国では同時期に、主要な電子機器企業のWebサイトが書き換えられたり、銀行のWebサイトも改ざんされ閲覧者の端末にバックドア型不正プログラムを侵入させるエクスプロイトコードが挿入されるなどの攻撃を受けていたといいます。ただし現時点では一連の攻撃の関連性の証拠はなく、偶然の可能性があるそうです。

また、「Windows7 SP1自動アップデート」や「韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因」という推測もあるようですが、これについては裏も取れていないようなので、もう少し様子を見たほうがいいのではないでしょうか。

韓国青瓦台(大統領府)によると、侵入経路についてはワクチンソフトのアップデートを装ってウイルスに感染しており、中国経由の痕跡があり、これまでのサイバー攻撃を受けた経緯から、北朝鮮が仕掛けたと韓国は有力視しているようです。

そういえば事実上のミサイルを発射した際の北朝鮮では、外見からも目新しいPCを手に入れていることから、こうしたサイバー攻撃も出来なくはないのかもしれませんが、この程度のサイバー攻撃を受ける韓国のセキュリティも見直しに迫られそうです。

NORTON INTERNET SECURITY
NORTON INTERNET SECURITY

ウイルスバスター クラウド 3年版
ウイルスバスター クラウド 3年版

ニュース – [続報]韓国への大規模サイバー攻撃、攻撃内容はハードディスクの破壊:ITproニュース - [続報]韓国への大規模サイバー攻撃、攻撃内容はハードディスクの破壊:ITpro

 Windows XPおよび同 2003 Serverでは、物理ディスクのMBR(マスターブートレコード)とVBR(ボリュームブートレコード)にゴミデータを書き込んでハードディスクを破壊する。Windows Vistaと同 7では、論理ドライブのすべてのファイル内容を削除してハードディスクを破壊する。

 シマンテックはマルウエアと推測される「Trojan Horse/Trojan.Jokra」と「WS.Reputation.1」を検知しているとブログで解説している。

韓国への大規模サイバー攻撃、マスターブートレコードを復旧困難にさせる攻撃などを確認 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)韓国への大規模サイバー攻撃、マスターブートレコードを復旧困難にさせる攻撃などを確認 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)

弊社では、今回の攻撃に関連する複数の検体(「TROJ_INJECTO.BDE」として検出)を入手。この「TROJ_INJECTO.BDE」が、今回の攻撃において、主要な不正活動を実行する役割を担っています。この不正プログラムは、「マスター・ブート・レコード(MBR)」を「HASTATI」や「PRINCPES」という文字列で上書きします。MBRは、通常、オペレーティングシステム(OS)を正常に起動させる際に必要な情報を保有しています。そしてこの不正プログラムは、自動的に感染コンピュータを再起動させ、コンピュータが再起動されると、破壊されたMBRが原因となり、感染コンピュータは起動できなくなります。

韓国でのサイバー攻撃で、リモートの Linux Wiper 見つかる | Symantec Connect コミュニティ韓国でのサイバー攻撃で、リモートの Linux Wiper 見つかる | Symantec Connect コミュニティ

韓国 ウイルスは中国のIPアドレスから NHKニュース韓国 ウイルスは中国のIPアドレスから NHKニュース

韓国政府などで作る対策チームは21日午前の記者会見で、パソコンやサーバーなど合わせて3万2000台余りが被害を受け、完全に復旧するまでにはあと4~5日かかるという見通しを明らかにしました。

韓国:サイバー攻撃「中国経由」…ワクチン更新装い感染- 毎日jp(毎日新聞)韓国:サイバー攻撃「中国経由」…ワクチン更新装い感染- 毎日jp(毎日新聞)

 発表によると、ハッカーは、被害を受けた会社の社内サーバーに侵入し、ワクチンソフトのアップデートを装ってウイルスを事前に流布。放送局など6社のサーバーとコンピューターの計3万2000台余りが感染した。ウイルスは、定められた時間になるとコンピューターを起動するためのプログラムを破壊するよう設定されていたという。

 北朝鮮はこれまでも、韓国の政府機関やマスコミ、金融機関へのサイバー攻撃を繰り返してきた。そうした際にも、中国内のネットワークが経由地に使われてきており、この点からも北朝鮮が仕掛けたことが有力視されている。

北ハッカー部隊、中国経由で韓国サイバー攻撃か : 国際 : YOMIURI ONLINE(読売新聞)北ハッカー部隊、中国経由で韓国サイバー攻撃か : 国際 : YOMIURI ONLINE(読売新聞)

 発表によると、被害に遭った農協系金融機関のパソコンなどを分析した結果、攻撃の発信元のIPアドレス(ネット上の住所)が、中国にあることが判明した。発表後、韓国大統領府関係者は「北朝鮮の関与を強く疑いつつ、あらゆる可能性を念頭に調査を進める」と話した。

Windows 7 SP1への自動アップデート開始へ、1GB以上の空き領域が必要に – GIGAZINEWindows 7 SP1への自動アップデート開始へ、1GB以上の空き領域が必要に - GIGAZINE

セキュリティ・ホットトピックス – 韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因:ITproセキュリティ・ホットトピックス - 韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因:ITpro

Related Posts Plugin for WordPress, Blogger...

Related posts:

  1. コンピュータウイルス作成の中二男子(13)を補導 ハッカー掲示板も運営
  2. トレンドマイクロ、遠隔操作で犯罪予告行うウイルスを解析。新種のバックドア型不正プログラム「BKDR_SYSIE.A」
  3. スマホにウイルス付きアプリダウンロードさせた出会い系サイト役員で韓国籍の男を逮捕