最近，正值朝鮮戰(zhàn)爭爆發(fā)63周年紀念日（6月25日），朝鮮半島發(fā)生了一系列針對韓國一些政府組織的網(wǎng)絡(luò)攻擊事件。盡管這些攻擊是由不同渠道的攻擊者發(fā)起，但賽門鐵克近日觀察到，其中一起針對韓國政府網(wǎng)站的DDoS攻擊與DarkSeoul團伙及Trojan.Castov有著直接的聯(lián)系。

現(xiàn)在可以確定，過去四年來，多次針對韓國的高調(diào)網(wǎng)絡(luò)攻擊，包括6月25日的這次攻擊，均是DarkSeoul團伙所為。這些攻擊還包括2013年3月擦除了韓國銀行和電視臺眾多電腦硬盤的毀滅性Jokra攻擊，以及2013年5月針對韓國金融公司發(fā)起的攻擊。

在重大歷史日期發(fā)起DDoS攻擊和擦除硬盤數(shù)據(jù)的攻擊，對于DarkSeoul團伙來說并不是頭一次。該團伙之前也曾在美國獨立日時發(fā)起DDoS和擦除攻擊。

圖1.DarkSeoul四年中的主要攻擊活動

DarkSeoul團伙所發(fā)起的攻擊往往具備智能性和協(xié)作性，而且在某些情況下采用了極度復(fù)雜的技術(shù)，而且這些攻擊傾向于采用類似的操作方式，一些主要特征包括：

針對韓國知名度高的目標發(fā)起多階段性協(xié)同攻擊

攻擊往往造成毀滅性后果，如設(shè)置在重大歷史日期觸發(fā)的硬盤擦除和DDoS攻擊

使用帶有政治主題的字符串重寫磁盤扇區(qū)

利用合法的第三方補丁機制進行跨企業(yè)網(wǎng)絡(luò)的傳播

采用特定的加密和模糊處理方法

利用特定的第三方網(wǎng)頁郵箱服務(wù)器來存儲文件

使用相似的命令與控制結(jié)構(gòu)

圖2.賽門鐵克圖解Castov DDoS攻擊機制

賽門鐵克安全技術(shù)與響應(yīng)中心（STAR），是由安全工程師、威脅分析員和研究員組成的全球化團隊，為賽門鐵克企業(yè)及個人用戶安全產(chǎn)品，提供基礎(chǔ)的功能、內(nèi)容和支持。賽門鐵克通過賽門鐵克全球智能網(wǎng)絡(luò)在全球建立了若干個互聯(lián)網(wǎng)威脅數(shù)據(jù)的最綜合來源。賽門鐵克全球智能網(wǎng)絡(luò)由6460萬個攻擊感應(yīng)器組成，每秒更新數(shù)千次。該網(wǎng)絡(luò)監(jiān)測200多個國家和地區(qū)的攻擊活動，并跟蹤超過47000個漏洞，這些漏洞可能影響15000多個廠商的40000多個產(chǎn)品。垃圾郵件、網(wǎng)絡(luò)釣魚和惡意軟件數(shù)據(jù)被多個來源捕獲，包括賽門鐵克探測網(wǎng)絡(luò)、Skeptic、Symantec.cloud，以及賽門鐵克許多其他安全技術(shù)。