12月21日，一名黑客通過Twitter向韓國水電與核電公司發出嚴重警告，要求官方立即停止運行核電站。同時黑客還公開了包括兩座核電站部分設計圖在內的4份壓縮檔案。值得一提的是，這次事件中所用的木馬竟然又是“格盤病毒”——MBR Wiper。

為什么又用?因為前不久鬧得沸沸揚揚的針對索尼影視的攻擊中，黑客使用的正是“格盤病毒”。那么究竟這兩起事件之間有沒有關聯呢?

[[125230]]

格盤病毒是如何感染計算機的

在這次韓國核電站黑客攻擊事件中，攻擊者使用了一款病毒(惡意軟件)，該病毒會擦除感染機器的主引導記錄(MBR)，因此我們稱它為“格盤病毒”。

“格盤病毒”是通過文杰文字處理軟件(Hangul Word Processor,HWP)感染電腦的。文杰Office是由韓軟公司(Hansoft)開發的類似微軟Office的一套軟件，在韓國的占有率很高。

為了讓受害者打開這些文件，攻擊者使用了大量的社會工程學技巧。以下就是從受害者收到魚叉式釣魚郵件開始的一連串攻擊過程。

病毒行為

趨勢科技將MBR wiper病毒識別為TROJ_WHAIM.A。除了修改MBR，它還會覆蓋特定類型的文件。它將自己偽裝成系統服務，確保每次重啟都能正常運行。它使用真實存在的系統服務所使用的文件名、服務名和服務描述，不細看可能察覺不到異常，以此規避檢測。

圖1：病毒所使用的服務名稱

多次攻擊間的異同

這次核電站遭到的“格盤病毒”MBR攻擊雖然罕見，但似曾相識。2013年3月的幾次針對多個韓國政府部門的攻擊中，我們也看到過MBR覆蓋。這次攻擊中所使用的惡意軟件同樣覆蓋MBR引導記錄，它會使用一系列“PRINCPES”,“HASTATI”或者“PR!NCPES”字符串覆蓋MBR。

這次的攻擊與之前的攻擊是有相似之處：三次的MBR攻擊中，惡意軟件使用了字符串不斷重復覆蓋MBR。在韓國核電站攻擊中，黑客重復了“Who Am I?”字符串，而在索尼攻擊事件中重復的是“0xAAAAAAAA”。

[[125231]]

圖2：感染的機器啟動時看到的‘Who Am I’信息

與朝鮮有關?

針對索尼影業的黑客攻擊被指是因為諷刺朝鮮的電影《刺殺金正恩》。雖然我們不能夠確定這種觀點的真實性，但在這次攻擊中我們發現了與之相似的地方。

我們注意到某個Twitter賬戶向韓國核電站傳達指令，如果不滿足他們的要求，就要發布竊取到的核電公司的文件。黑客其中的一個要求就是關閉核電站(韓國29%的電力是由核電站提供的)。

尚未有確切歸因

雖然最近這幾起攻擊中有非常明顯的相似之處，但我們還是不能肯定三次攻擊的幕后主使就一定有關聯。索尼安全事件被媒體廣泛報道，所以也有可能導致一個攻擊事件“引發”了新的攻擊，他們不一定是有關聯的。

這些攻擊中，MBR wiper病毒越來越顯眼，一個深度防御的網絡應該要把這些威脅考慮進去了。

12月23日更新

在隨后的調查分析中我們發現，“格盤病毒”中的惡意進程TROJ_WHAIM.A會檢查系統時間是不是晚于2014年12月10日 11:00 AM，如果是，它就會把注冊表中的HKEY_LOCAL_MACHINE\SOFTWARE\PcaSvcc\finish值設為1，然后開始覆蓋MBR;如果不是，它會等一分鐘，然后再檢查。

所以除了MBR這個相似點以外，另一個與2013年3月事件相似的地方在于程序的“定時炸彈”功能，即檢查系統時間，一旦到了某個時間，就開始運行。