近期韩国遭受黑客攻击情况及采取的应对措施
近期韩国持续发生遭黑客攻击事件,先是韩国原子能研究院5月14日遭到疑似朝鲜黑客组织Kimsuky攻击;接着6月21日韩国防卫事业厅表示,韩国潜水艇建造商“大宇造船”遭黑客攻击;6月30日再爆韩国战机研发厂商遭黑客攻击,韩国国产隐形战斗机KF-21的设计图可能外泄。此外,韩国网络安全公司ESTsecurity表示,近期不断发现朝鲜黑客组织利用谷歌博客对韩国公共机构实施攻击。对此,韩国政府积极采取措施,开展专项检查,重点关注“阻止未经授权的访问”、“内网外网隔离管理”、“更新最新的安全程序”以及“在勒索软件破坏等紧急情况下的恢复措施”等。 一、韩国原子能研究院遭疑似朝鲜黑客组织攻击 据韩国《中央日报》6月19日报道,韩国国会情报委员会干事、国民力量党议员河泰庆<音,下同>在18日的记者会上表示,韩国原子能研究院5月14日遭到朝鲜黑客组织Kimsuky攻击。 根据河泰庆公开的资料显示,5月14日,未经批准的13个外部IP地址入侵韩国原子能研究院内网。朝鲜网络攻击专门研究组织“IssueMakersLab”追查这些IP来源后发现,部分IP地址与疑似有朝军侦察总局背景的黑客组织Kimsuky服务器相连。河泰庆称,部分IP地址还盗用前韩国总统统一外交安全事务特别助理文正仁的电子邮件用户名。这是所谓“朝鲜与2018年文正仁电子邮件遭黑客攻击”有关的间接证据,是证明该案系朝鲜黑客组织所为的决定性证据。他表示,如果韩国国家核心技术被朝鲜外泄,其严重性可能不亚于2016年国防部内网被黑客攻破事件。 二、韩国潜水艇建造商“大宇造船”遭黑客攻击 据韩联社6月21日报道,韩国潜水艇建造公司“大宇造船”遭到了黑客攻击。韩国防卫事业厅21日表示,“大宇造船”去年年底了解到遭黑客攻击相关情况后,已委托警方进行调查。韩国防卫事业厅有关人士表示,保存重要机密文件的内部网和外部网相分离,军事机密文件并未泄露。 “大宇造船”是韩国大型水面舰船和潜艇最主要的建造企业之一,曾建造过韩国自主研制的“岛山安昌浩舰”和“安武舰”等“张保皋-Ⅲ”级常规潜艇,而且还拥有核动力潜艇开发相关资料。2020年以来,“大宇造船”已经投资扩充了3000吨级以上大型潜艇的建造设备,以进一步提升舰船建造竞争力。韩国业界有分析认为,“大宇造船”遭黑客袭击的背后也可能是朝鲜黑客。有人推测,“大宇造船”开发核动力潜艇的相关资料可能是黑客攻击的对象。 三、韩国战机研发厂商遭黑客攻击 据韩联社6月30日报道,韩国多名政府消息人士当天证实,今年以来韩国航空宇宙产业公司(KAI)遭到两次黑客攻击,并发现大量文件泄露的迹象。韩国国会情报委员会干事、国民力量党议员河泰庆当天表示,韩国防卫事业厅承认韩国航空宇宙产业遭到黑客攻击。他说,韩国国产隐形战斗机KF-21的设计图可能外泄,此外可能泄露的信息还包括“军级部队专用无人机、FA-50轻型攻击机、电子战、雷达、直升机相关资料”。 韩国国产隐形战斗机KF-21
由于韩国战机大都是采购其他国家的先进部件自行组装。如FA-50轻型攻击机就是使用美国通用动力公司的F404-GE-102涡扇发动机、洛克希德·马丁公司的AN/APG-67雷达。KF-21隐形战斗机不但大量依靠美国提供技术,且在火控系统中整合德国的IRIS-T格斗导弹和欧洲导弹集团的“流星”中程空空导弹,也需要这些欧洲企业提供相关数据。韩国这些国产武器的机密信息泄露,不仅对韩国国防工业造成影响,与韩国展开技术合作的西方企业也可能丢失核心机密。 四、朝鲜黑客组织利用谷歌博客实施攻击 韩国安全新闻近日报道,最近不断发现与朝鲜有关联的黑客组织针对韩国公共机构实施攻击,黑客尝试使用Kimsuky的Google博客进行攻击活动。 
五、韩国采取的主要应对措施 (一)对主要天然气生产控制系统开展专项检查 6月份,韩国国家情报院(NIS)联合贸易、工业和能源部对韩国天然气公司管理的全国主要天然气生产控制系统进行了专项检查。对于这些设施,NIS 重点关注“阻止未经授权的访问”、“内部网络与互联网隔离的管理状态”、“更新最新的安全程序”以及“在勒索软件破坏等紧急情况下的恢复措施”。 (二)对国家电力、天然气、供水基础设施开展重点检查 韩国国家情报院表示,近期黑客攻击行为逐渐增多,针对的目标是直接影响人们生命安全的电力、燃气、供水等能源基础设施,一旦发生事故就会造成巨大损失。韩国国家情报院计划在7月初对韩国电力公司和韩国电力交易所的信息和通信系统进行专项检查,包括韩国电力公司管理的配电、变电站和传输系统,以及韩国电力交易所管理的电力交易和运营系统等7项基础设施。 韩国国家情报院将对内部计算机网络是否与外部完全隔离、是否阻止未经授权的访问、备份系统是否运行良好和安全补丁更新至最新版本等方面进行重点检查,并采取防范和恢复措施。
(资料来源:综合韩国联合新闻社、韩国安全新闻网站、韩国《中央日报》网等相关文章)
发布时间:
2021-07-08
浏览次数:
利用谷歌博客作为攻击指令的载体
6月28日实施的攻击,是伪装成参加学术会议的表格的MS Word文档文件,并设置了密码,目的是逃避安全程序的检测。该文档采用了典型的恶意宏技术,如果点击“使用内容”按钮,则执行恶意代码。
据韩国ESRC安全响应中心分析,恶意代码在工作时,首先尝试与韩国内某小企业的主页(daewon3765.○○○[.]com)进行首次通信,然后再与特定的攻击者搭建的谷歌博客进行二次通信。恶意文件通过与韩国内的命令与控制(C&C)服务器通信,创建伪装成普通文件的“desktop.ini”文件,并在启动程序文件夹中添加快捷方式文件“iexplore.exe.lnk”,自动隐藏计算机启动的时间。通过允许执行,保证攻击的连续性。之后“desktop.ini”文件试图访问攻击者搭建的谷歌博客,该代码负责泄露用户的系统信息。传输的信息包括用户名、操作系统版本、办公版本、当前运行进程列表、最近使用的文档列表、桌面文档列表等,收集的这些信息被传输到韩国内服务器(daewon3765.○○○[.]com/about/post/info.ph)上。
韩国网络安全公司ESTsecurity综合分析近期案件认为,疑似朝鲜黑客组织“Kimsuky”不断对外交领域的人员进行黑客攻击,不仅冒充国家研究人员和国防公司,还冒充私营部门研讨会和学术会议等。目前,韩国网络安全公司已紧急将新发现的恶意文件添加到安全产品ALYac中,并正与相关部门密切配合,采取应对措施。
上一篇:
“滴滴出行”APP下架事件引发的思考
下一篇:
美国近期举行多项大型网络防御演习
