T.S.
在這波針對美國政府與南韓網站所發動的分散式阻絕服務攻擊事件中,除了讓使用者無法連線至遭攻擊之網站,受波及的電腦其本身資料也將被惡意碼刪除而無法使用。
駭客透過全球殭屍網路,針對美國與南韓的政府部門、金融、以及媒體網站發動分散式阻絕服務攻擊 (Distributed Denial of Service, DDoS),其手法係透過業界所熟知的 W32.Dozer 惡意碼,該種病毒會將受感染之電腦中的資料刪除,並使得電腦無法重新開機。
賽門鐵克 (Symantec) 資訊安全回應部門副總裁 Vincent Weafer 說道:「你的電腦在這次事件中可能已經完全被攻陷。」
這個惡意攻擊碼設定在電腦時鐘到達 2009 年 6 月 10 日的時侯,便會自動刪除遭感染電腦中之檔案,而那就是今天。
根據 Weafer 的說法,此次攻擊的目標檔案,主要是鎖定在辦公室、商業、以及開發應用進行攻擊。這個惡意碼會嘗試針對電腦中的 30 餘種副檔名進行攻擊,例如:doc 、 pdf 及 xls,複製這類副檔名之檔案並予以加密,讓使用者無法存取,然後再讓這些複製的加密檔案把原始檔覆蓋過去。
此外,這個惡意碼還會依據程式設計,去模擬遭感染電腦的主要開機記錄。而一旦被竄改之後,該電腦將無法重新開機。
不過,這次一連串攻擊事件應該很快就會落幕,且影響不會太大。 Weafer 指出,他認為應該只有幾千台電腦受到影響。「我認為,或許除了在南韓之外,這次的攻擊並不是一個重大事件。」
此次的網路攻擊事件主要發生在美國與南韓,自 6 月 4 日開始,間歇性地阻斷使用者連接至財政部 (Treasury Department) 、運輸部 (Transportation Department) 以及聯邦貿易委員會 (Federal Trade Commission) 網站。
南韓情報局 (South Korean Intelligence Service) 指出,約有 2 萬台電腦-大部分在南韓境內,被利用來針對美國與南韓之網站進行分散式阻絕服務攻擊。
由於這次事件發生的時間點,正值北韓飛彈試射期間,因此有人懷疑北韓當局或中國是否涉及該起駭客攻擊事件。
在昨天的一場媒體簡報活動中,美國國務院 (State Department) 發言人 Ian Kelly 表示,這波資安攻擊仍在持續當中,有關當局將設法處理此次事件所造成的影響,以及任何可能潛在的新一波攻擊行動。不過,對於北韓當局是否涉及此次事件,則他表示目前尚沒有足夠的資訊可供研判。
DDoS 可能來自於四面八方。根據 SANS 協會 (SANS Institute) 研究經理 Alan Paller 表示,在這次攻擊事件中受波及的電腦遍佈全球各地,包含美國也在其中。而由於駭客攻擊所使用的殭屍電腦會不斷改變,因此攻擊來源也會持續變動而難以掌握。
Paller 透過電子郵件指出,這波攻擊事件自上週末起便在有心人士精心策劃下展開─剛開始的時候,網路流量爆增,但網路服務業者還容易可以過濾掉;之後,透過至少 2 道竄改手續,讓這些爆增的流量看起來愈來愈像是正常的網路資料傳輸。此時,網路服務業者必須更努力辨識、過濾掉那些明顯為惡意之流量以及看似正常實則不然之流量,導致許多網站無法運作。
不過,由於 W32.Dozer 病毒會刪除電腦中的檔案,將對宿主電腦造成嚴重損害,因此攻擊事件應該很快便會平息。