韓國爆發史上最大駭客攻擊：下午2點硬碟自動銷燬

韓國3月20日發生史上最大駭客攻擊事件，多家銀行、保險公司和電視臺遭駭，導致ATM停擺，網路銀行當機，新韓銀行也在官網公告當天下午14:10-15:50發生服務中斷事故，向用戶致歉。

3月20日，下午兩點，韓國企業遭受大規模APT（Advanced Persistent Threat，先進持續性威脅）攻擊，多家銀行，保險公司和電視臺的內部網路中斷，3萬多臺個人電腦故障，部分銀行伺服器停擺，網路銀行交易中斷，甚至導致ATM服務自動關機，也有網路服務供應商因受駭而停止網路電信服務。韓國總統府啟動國家危機管控機制，韓國國防部的也因此提高「情報作戰防禦態勢」等級，從4級提昇到3級。趨勢科技表示，這是韓國史上最大規模的駭客攻擊。

駭客攻擊韓國新韓、農協和濟洲等3家銀行，內部電腦和少數伺服器停版，導致部分ATM無法提款，相關網路銀行服務中斷，新韓銀行甚至將營業時間延後到當天下午六時。NH生命保險公司及NH損害保險公司也遭到類似的網路攻擊。另外也有韓國3家電視臺韓國放送公社（KBS）、韓國文化廣播公司（MBC）和聯合電視新聞台（YTN）受駭，同樣地發生內部員工電腦故障無法開機，也有部分網站的網頁被駭。

更大影響是，韓國樂金集團旗下網路服務供應商LG Uplus也因受駭而停止網路電信服務。韓國股市也因此駭客事件受挫，股市創兩個月來最大跌幅。根據韓國網路安全機構（Korea Internet Security Agency，KISA ）統計，受害電腦數量共計有3萬2千臺。

受駭企業多數在20日當天就恢復正常運作，但直到3月21日，仍有1～2成的ATM服務尚未恢復。長期派駐韓國首爾的資安公司FireEye亞太及日本區公共事業部區經理Gene Casady預估，這幾家企業至少需要一個禮拜才能完全恢復。

韓國政府目前僅確認發動攻擊的IP位址來自中國大陸，駭客身分仍不明朗。至於攻擊途徑，Gene Casady表示，有三種方式已被確認，前兩種是由潛伏在更新程式部署伺服器（Patch Management Server）或是防毒伺服器受駭後反而提供有惡意程式的更新軟體，另外一種手法則是透過釣魚郵件，誘騙使用者點選後門程式，有些受駭企業甚至遭受超過一種的攻擊方式。

下午2點，惡意軟體啟動，銷燬硬碟MBR導致無法開機

這些惡意軟體原本處在睡眠狀態，但是被設定於2013年3月20日啟動，惡意軟體被喚醒後，會先確認電腦目前作業系統的版本，Gene Casady表示，惡意軟體會清點Windows Vista及其後續版本系統內的所有檔案，接著損壞硬碟主開機記錄（Master Boot Record，MBR），造成電腦無法開機，並清除硬碟內的所有資料。

由於是透過更新伺服器或是防毒伺服器造成電腦受到感染，也就是說，這次攻擊破壞了使用者與網站之間的信任感，Gene Casady表示，駭客攻擊目標不再僅針對企業，先前Java漏洞也類似這種情況，瓦解使用者和廠商之間的信任，未來這類型的攻擊會越來越多。

相較於分散式阻斷服務攻擊（DDoS），APT攻擊造成影響的範圍更大，更加難以防範，就算企業資安措施相當嚴密，電腦皆裝有防毒軟體，仍舊無法百分之百找出所有APT攻擊時常用的漏洞，但並不代表，APT攻擊毫無弱點。Gene Casady表示，複雜的攻擊模式就是APT的弱點。

APT攻擊通常有4大步驟，首先，植入惡意程式，接著下載特殊指令，經過潛伏期後，駭客遠端遙控惡意程式發動攻擊，最後將竊取而來的資料外傳，這4個步驟就像是APT攻擊的生命週期。Gene Casady表示，只要企業能夠阻擋其中一個步驟進行，就可以降低APT攻擊帶來的危害。

由駭客組織所發動的APT攻擊，通常以竊取有價值性的機敏資料為目的，變賣之後可以帶來豐沛的報酬，但是，這次駭客則是以摧毀所有資料為目的，所以，有不少聲浪認為，這次攻擊是國家級的網路戰。

國際間也曾發生不少次網路戰，Gene Casady表示，國家級網路戰鎖定的目標絕不會是影響民生的基礎設施，像是電力與水力公司，要是擊垮這些設施，造成人民難以生存，受害國很有可能發動戰爭，後果將一發不可收拾。文⊙張景皓