Let's gossip what happens in South Korea

Last week a big cyber operation called DarkSeoul got massive attention on security community as well as on the whole world - South Korea under cyber attacks. Since then for almost a week we can't easily reach any Korean friends, and all sorts of news came out on the Web.

So here is our version. We first shared with CHROOT, HITCON, close partners, then you our readers.

Well, first, how bad?
Let's rereview the impacts on the day March 20th: (Thanks GD/Chroot for the summary)

Nonghyup Bank: 2,000 computers in 30 branches got affected, front desk activities suspended, more than half of ATM got shutdown
Shinhan Bank: 57 branches got affected, all database system crashed or stopped functioning, all transactions halted for 2 hours
Jeju Bank: unknown number of employees' PC got affected, all ATM got shutdown
KBS TV station: 5,000 computers got compromised, radio broadcasting stopped, official websites shutdown
MBS TV station: 800 computers got compromised, half of employees' PC shutdown, internet connections suspended, all using notebooks
YTN TC station: 500 computers got compromised, News broadcasting stopped
LG UPlus ISP: intranet computers got compromised, website got defaced

3 hours after the cyber attack, the military's INFOCON raised from 4 to 3 (normally it's 5).

Xecure Lab did some research on the malware and here's what we like to share.

南韓大顆首爾( DarkSeoul) 大規模APT攻擊事件

上禮拜資安界發生一個大事件 - 韓國被APT大規模攻擊，也被稱為 DarkSeoul 大顆首爾事件(目前還沒有中文對應的翻譯，所以統一用我翻的...嘿嘿)。規模之大也是前所未有，整個故事值得各界借鏡。各大媒體與廠商都出來嘴砲，不免俗地，我們也來給它湊一嘴 :)

先幫大家回憶一下 3/20 發生哪些事 ? (感謝GD/Chroot 整理)

農協銀行：30 分行 2000台電腦受害，櫃檯業務停止，半數 ATM 停機
新韓銀行：57 分行受害全資料庫停止，全服務停2小時，簽帳卡無法刷
濟州銀行：受害狀況不明行員電腦為主，全部 ATM 停止
KBS 電視：5000 電腦受害，廣播電台停播，釜山晚間停播，官方網站關閉
MBS 電視：800 電腦受害，半數員工停機，外部片源斷線一律筆電作業
YTN 電視：500 電腦受害，電視播送正常，新聞系統停機
LG UPlus ISP：內部電腦被破壞，網站被置換

這三間銀行幾乎是韓國前三大銀行，事件剛發生，甚至韓國國家軍方INFOCON由4提升到3。

Xecure Lab 針對這個事件的惡意程式樣本作了一些研究與探討...

報告長官，問題在馬其諾防線！

APT（什麼是APT？） 最近在全美眾志成城炒作下爆熱，時間點剛好搭上美國年度資安盛會 RSA 資訊安全展，搞得資安廠商現在推產品都得喊上幾句 APT，說實在的，這就是 APT 精神啊，投其所好！

今年相繼發生紐約時報（New York Times）被駭客盯上長達四個月終究淪陷，紐時的員工帳密全掉，50 餘部員工電腦已遭入侵、推特（Twitter）被入侵後的外洩帳密確認達25萬筆、微軟也有少數電腦遭類似攻擊技術入侵，但表示沒有客戶資料外洩，而臉書（Facebook）告知其用戶他們撐過這場風暴，沒有災損。承做紐時資安防護的 Mandiant 在 2月揭露一份資安調查報告具體指控 APT 的藏鏡人是中國網軍，接著紐時、華盛頓郵報（Washington Post）、CNN、路透社（Reuters）等多家傳媒聯手強力播送中國網軍的點點滴滴，有記者直搗疑似解放軍大本營進行狗仔偷拍，也有人肉搜索疑似的網軍成員，刊登家庭生活照。日前，美國白宮發布總統令全面加強關鍵基礎建設的資安防護，眾官員們一致對外相繼撻伐 APT 入侵情事。一場沒有煙硝的中美資訊戰已經開始。

Mandiant宣稱涉及100餘起APT入侵的是中國網軍之一的"APT1"
 

關於 APT (Advanced Persistent Threat），Xecure Lab 會跟客戶解釋 APT 是老美過度簡化的名詞，老美甚至就是直接把 APT 和其資訊戰上的假想敵直接劃上等號。
倡議和平的台灣並沒有資訊戰假想敵，況且在資訊戰的世界，各國都有其陽謀陰謀，受害者未必就不是加害者，反之亦然。面對 APT 洪流，國人當務之急是加強 APT 防禦能力，以免在面對國家層級的資安攻擊時，所有努力，傾刻瓦解。

Xecure Lab 認為 APT 是 21 世紀必須應對的「因地制宜、欲擒故縱」資訊戰行動，
APT分成三個階段，共涵蓋六項任務：

APT 資訊戰行動的三階工程與六項任務

1. 社交工程階段 (Social Engineering Stage)
此階段的工程極為仰賴社交工程技術包裝心懷不軌（APT Threats），目標單位在電子郵件檢閱、USB檔案交換，網頁瀏覽等環節上開始有機會接觸到包藏禍心的資料，同仁得繃緊神經，稍不留神就誤觸陷阱，遭遇致命一擊（APT Exploits）。
醒世驚語：「被 APT 盯上，躺著也中槍！（其實跟姿勢無關...是資安意識和軟硬防線要加強」 

2. 臥底工程階段 (Undercover Stage)
APT 攻擊不見得是一氣呵成，前導部隊進入受害者電腦的首要任務是回報戰情現況（APT Traffic），以組織全面的隱蔽工事，避免被使用者察覺、熬過被防毒軟體查殺，和資訊單位的輪番稽核，撐得越久就有機會收刮越多資料（APT Leakage）。
醒世驚語：「咦？電腦怎麼跑這麼慢？來重灌好了 （網軍大嘆做壞事是很辛苦的！）」 

3. 解放工程階段 (Pwned Stage)
單位內若有電腦被 APT 入侵成功，鮮有是個案，已遭入侵的電腦會被作為內應擴大感染規模與層級（APT Infection），和作戰編組（APT Squad）。受害單位倘若出現 APT 資安事件，務必全面清查並加強整體防禦。
醒世驚語：「APT 行動沒有尾聲，只有更深！APT 防護沒有撇步，只有更強！（受害者自嘲：哪天重要資料不見，乾脆在桌面留言求助駭客調備份！」

美國總統柯林頓在競選時有一句非常著名的標語，「"It's the economy, stupid!"」（笨蛋，問題是經濟！）花錢花精力事小，最令人擔心的是事倍功半，疲於奔命累死三軍！

Xecure Lab 認為，APT 的關鍵不在於食指對外嗆聲幕後主使，而是單位上下同心檢討如何有效對抗 APT 等級的資安攻勢：「報告長官，問題在馬其諾防線！」（"It's the Maginot Line, sir!"）

重金打造的馬其諾防線，有沒有貨真價實？是不是與時並進針對 APT 下藥？
厚實防線有沒有對著敵人擋？有沒有看破敵人招數，知彼知己？

國人共勉之，我們一起加油，跟老闆爭取支持！


By Jeremy Chiu and Dr. Benson Wu