В интернете начали появляться первые сведения о программных инструментах, которые использовались для проведения атаки 20 марта 2013 года на банковскую систему и средства массовой информации Южной Кореи.
20 марта в 14:00 на компьютерах под Windows были стёрты загрузочные записи MBR и VBR, а на серверах под Unix/Linux удалены файлы через стандартные средства удаленного управления, после получения авторизационных данных с заражённых Windows-машин.
Список целей:
- Nonghyup Bank
- Shinhan Bank
- Jeju Bank
- Nonghyup Life
- KBS TV
- MBC TV
- YTN TV
Анализ вредоносного ПО произвела специалисты по безопасности из южнокорейской компании NSHC. Они каждый день выпускают обновлённую версию отчёта Red Alert с информацией об инциденте, вот последняя версия 1.6 от 22 марта (pdf).
Исходя из имеющейся информации, можно сделать вывод, что непосредственно «разрушение» компьютерных ресурсов противника было осуществлено простыми, но эффективными средствами.
Ниже опубликована схема активности дроппера и вредоносных утилит на заражённом ПК.
На нескольких взломанных сайтах хакеры разместили красивую анимацию.
