Для того чтобы инфицировать компьютеры электростанции, хакеры использовали методы социального инжиниринга и проэксплуатировали несколько уязвимостей.
Исследователи Trend Micro опубликовали в блоге компании детали атаки на крупную корейскую электростанцию, подвергшуюся кибератаке с использованием вируса, удаляющего MBR – данные для загрузки операционной системы, располагающиеся в первых секторах жесткого диска. По их данным, вредоносное ПО инфицировало целевые системы путем эксплуатации уязвимости в приложении Hangul Word Processor, которое повсеместно используется в Южной Корее. Помимо этого, злоумышленники прибегли к методам социального инжиниринга.
Специалисты идентифицировали используемый киберпреступниками вредонос как TROJ_WHAIM.A – обыкновенный вирус, удаляющий MBR. Помимо своей основной задачи, он также перезаписывает некоторые файлы на целевой системе. Вредонос устанавливается в виде службы, благодаря чему может работать даже после перезагрузки ОС. Более того, он использует имена файлов и папок, а также описания легитимных системных файлов, благодаря чему его становится сложнее обнаружить.
Исследователи отметили, что уже наблюдали подобное поведение вирусов в прошлом. К примеру, в марте 2013 года неизвестные злоумышленники атаковали сайты нескольких правительственных организаций Южной Кореи, используя аналогичное вредоносное ПО. Более того, в недавней атаке на Sony применялась точно такая же атака, как на электростанцию в контейнере .
Во всех трех атаках вредонос перезаписывал MBR, заполняя его определенными строками. В атаке, о которой сообщает Trend Micro, использовалась строка «Who Am I?», в то время как при нападении на Sony хакеры заполнили MBR строкой «0хАААААААА».
Trend Micro не считает, что все три нападения совершила одна и та же киберпреступная группировка. Атаки были хорошо задокументированы и, скорее всего, при совершении последующих нападений хакеры попросту использовали наработки своих коллег.
Ладно, не доказали. Но мы работаем над этим