最近，正值朝鮮戰爭爆發63周年紀念日（6月25日），朝鮮半島發生了一系列針對韓國一些政府組織的網絡攻擊事件。盡管這些攻擊是由不同渠道的攻擊者發起，但賽門鐵克近日觀察到，其中一起針對韓國政府網站的DDoS攻擊與DarkSeoul團伙及Trojan.Castov有著直接的聯系。

現在可以確定，過去四年來，多次針對韓國的高調網絡攻擊，包括6月25日的這次攻擊，均是DarkSeoul團伙所為。這些攻擊還包括2013年3月擦除了韓國銀行和電視臺眾多電腦硬盤的毀滅性Jokra攻擊，以及2013年5月針對韓國金融公司發起的攻擊。

在重大歷史日期發起DDoS攻擊和擦除硬盤數據的攻擊，對于DarkSeoul團伙來說并不是頭一次。該團伙之前也曾在美國獨立日時發起DDoS和擦除攻擊。

圖1.DarkSeoul四年中的主要攻擊活動

DarkSeoul團伙所發起的攻擊往往具備智能性和協作性，而且在某些情況下采用了極度復雜的技術，而且這些攻擊傾向于采用類似的操作方式，一些主要特征包括：

針對韓國知名度高的目標發起多階段性協同攻擊

攻擊往往造成毀滅性后果，如設置在重大歷史日期觸發的硬盤擦除和DDoS攻擊

使用帶有政治主題的字符串重寫磁盤扇區

利用合法的第三方補丁機制進行跨企業網絡的傳播

采用特定的加密和模糊處理方法

利用特定的第三方網頁郵箱服務器來存儲文件

使用相似的命令與控制結構

圖2.賽門鐵克圖解Castov DDoS攻擊機制

賽門鐵克安全技術與響應中心（STAR），是由安全工程師、威脅分析員和研究員組成的全球化團隊，為賽門鐵克企業及個人用戶安全產品，提供基礎的功能、內容和支持。賽門鐵克通過賽門鐵克全球智能網絡在全球建立了若干個互聯網威脅數據的最綜合來源。賽門鐵克全球智能網絡由6460萬個攻擊感應器組成，每秒更新數千次。該網絡監測200多個國家和地區的攻擊活動，并跟蹤超過47000個漏洞，這些漏洞可能影響15000多個廠商的40000多個產品。垃圾郵件、網絡釣魚和惡意軟件數據被多個來源捕獲，包括賽門鐵克探測網絡、Skeptic、Symantec.cloud，以及賽門鐵克許多其他安全技術。