2018年10月30日星期二

金庸之後，再也無江湖！

新聞傳來金庸病逝的訊息。
轉頭看了書房書架上整套的金庸武俠世界，他們和山葉徹彌的好小子一直是我心目中的最愛，時至今日無聊時我還是會從書架上信手拿一本來翻閱。
感覺是一個舊時代的結束：
金庸之後，再也無江湖！

改變不了的就留在那兒了

當昨天悄然而逝
歡笑和悲傷終於打包搬走
日子在千辛萬苦之中找到一點點安慰
改變不了的就留在那兒了

2018年10月28日星期日

【資安危機衝擊製造業拉警報】正視工廠生產線上的資安威脅，徹底改變防護概念為當務之急

面對資安威脅，高科技製造業的產線也無法迴避，在台積電發生大規模停機後，也讓產業結構面的問題浮上臺面，現在國內製造業開始警惕，不能再放任成為資安死角

從整個工業物聯網環境與威脅的面向來看，機臺安全事件的問題，發生在終端裝置、網路傳輸管理，以及管控控制流程的層面，但隨著未來智慧製造的連網需求、IT與OT的交錯，整體產業環境還有更多威脅面向，也必須面對。（圖片來源／精誠資訊）

今年8月，國內半導體龍頭大廠台積電，遭逢公司史上最大資安威脅，因為新機臺上線時疏於防範，導致惡意軟體感染，進而造成產線停擺，生產線要恢復全線運作，已經是3天之後，這不僅讓全臺灣民眾，都關注到機臺安全的資安議題，同時也敲響了高科技製造業的警鐘，因為就連業界模範生台積電也不能倖免。

事實上，在國際間已有案例在前，像是去年汽車界的雷諾-日產（Renault–Nissan），就曾經因此造成全球廠區短暫停產，爾後還有日本汽車大廠本田（Honda），以及美國波音（Boeing）的飛機製造工廠，都遭受到勒索軟體或蠕蟲的攻擊，為公司帶來不小的損失。

而這些事件都突顯資訊安全的重要性，看著台積電上這一課，已經讓國內製造業也感到憂心，同時正喚醒整個產業對於資安的重視。其實，就有不少資安業者表示，過往他們在推行工業系統相關資安解決方案，許多高科技製造業的態度是冷漠的，但現在他們對於資安的態度轉為積極、開放的趨勢，且會更進一步思考如何防止類似問題再發生。這一點我們認為相當重要，否則未來勢必將面對更多資安威脅，若無法有效因應，受害的將是整個國家製造業的前景，甚至可能影響到臺灣經濟與GDP。

也因為這樣的資安事件，讓產業結構面的問題浮上臺面。例如，工業領域存在很多老舊Windows電腦，生產線機臺設備與主控電腦，以及相關的網路設備，大多不是在IT部門管控範圍，這就成為了資安上的死角。

再仔細探究下去，我們還可以發現IT與OT領域，其實存在很大的不同。因此，在看待機臺安全問題之前，要先了解與一般IT環境之間的先天性差異，剖析組織架構、文化，以及技術與設備面等問題與挑戰。

從了解機臺安全與IT環境之間差異開始，強化製造業的網路安全

首先是組織架構，傳統上，OT與IT是兩個完全不同的專業領域，機臺安全就是歸高科技製造業廠區的管理體系負責，與辦公應用端的IT單位體系不同。從管理面向來看，一般資安團隊的編制都是在IT體系之下，資安問題該由廠區的負責人指揮或IT單位介入，目前並不明確，未來若要整合，管理策略如何協調或達成共識，就是挑戰。

第二個面向在於文化上的衝突。在資訊安全領域所強調的三要素中，主要包括了機密性（Confidentiality）、完整性（Integrity）、以及可用性（Availability），簡稱CIA，但對於製造業生產線的環境而言，是將可用性視為列為最優先的考量，至於數據資料的保密方面，由於傳統工業領域多規畫在與外部網路實體隔離的環境，不容易遭受網路資安威脅，因此過去對於防範外部威脅的需求較低。但隨著資安事件的衝擊與工業物聯網的發展之下，如何平衡產能與資安風險，也成為面臨的挑戰。

第三個面向是在技術與設備面的差異。除了在通訊協定上，IT與OT兩邊使用大不同，廠商在設計正常設備使用壽命，也不一樣，而程式的相容性也有很大差異。與先前所提文化差異相同的是，高科技製造業這類生產設備，幾乎是不間斷運作，因此我們可以看到一般廠長的任務，就是要求最高產能、最低成本，不像在IT環境內，較容易做到重新開機或更新修補，因此，這些維護行為，對於製造業生產線環境而言，則認為會有相當大的風險存在。

面對高科技製造業的生產線環境，基於以上考量，來落實資訊安全時，就會發現諸多不同於IT環境的問題。

舉例來說，在我們這次詢問多家資安與系統廠商，更瞭解到不少的問題點，例如，廠區環境以穩定生產為原則，作業系統版本的漏洞修補及更新並不容易，因此，面對針對舊弱點的新攻擊手法，就有很大風險；廠區內大多是扁平的網路架構，沒有縱深防禦，而且，自身擁有的安全措施相當有限。

再加上，工控系統相互連結的情況越來越多，不論是設備商遠端存取的管控，或是基於特定專案需求，為了一些應用程式要存取而要開啟連接埠，以及與非信任網路的連接，均打破傳統封閉式的網路環境，使得原本不容易遭受網路資安威脅的局勢已經改變，並帶來缺乏安全保障與管理的問題。

聚焦7大防護策略，從白名單防護做起，儘允許經授權應用程式執行

在資安防護成為各領域關注焦點的時代，毫無疑問，這次高科技製造業機臺的資安事件，也讓人關注生產線機臺安全問題的不同，以及當今製造業OT環境的資安挑戰，而防護上該從那些面向來著手，就是熱門的議題。

事實上，在台積電的新聞事件報導後，我們就看到不少資安業者都在探討機臺OS更新難題，並且建議採用白名單。然而，製造業生產機臺環境的安全防護等級要如何提升？這次我們也詢問了多家資安廠商，例如McAfee、賽門鐵克、趨勢科技，系統服務廠商精誠資訊與資拓宏宇，同時，還有工業電腦大廠研華科技，並整理出相關要點。

談到半導體製造業生產機臺的安全，要從哪幾個面向來看待？其實國際上已經有些參考的依據，如同McAfee臺灣區總經理沈志明提到，美國國土安全部旗下工業控制系統緊急應變小組（ICS-CERT），在2015年曾提出7大防護策略，包括：實施應用程式白名單、確保正確的配置與修補程式管理、減少易受攻擊受面、建構可防禦的環境、使用者身分與認證管理，部署安全的遠端存取，以及做好監控與應變。

特別值得注意的是，實施應用程式白名單為7大策略之首，而這次多家業者同樣提到了應用程式白名單。事實上，白名單的防護概念，很多年前就已經存在，不過，近年我們更是不時耳聞。

例如，第一銀行在2016年發生ATM盜領事件後，當時就有資安專家建議，應以白名單方式控管，僅允許少數的合法程式可以在ATM系統中執行。臺灣賽門鐵克首席技術顧問張士龍並指出，其實金管會原本的要求，是所有ATM都要安裝防毒軟體或白名單，但在第一銀行ATM事件後，要求改為只有白名單，顯示這項作法的落實，受到更大的肯定。

去年底，在2017資安產業策略會議（SRB）上，工研院資訊與通訊研究所所長闕志克，在對政府提出的建言之中，也強調了白名單觀念的重要性。他指出，過去使用黑名單來防護，因為惡意程式的數目比非惡意程式數目小很多，但現在的狀況則相反，變成惡意程式數目遠大於非惡意程式，因此他們也在倡導白名單的概念，也就是正面表列的方式，而對於固定功能的電腦，就應該用白名單的方式來保護，以限制電腦能運行的程式。如此一來，即使帶有病毒的新機臺，連上了生產內網，也無法輕易感染既有機臺。

圖片來源／賽門鐵克

做到機臺安全防護，應用程式白名單成為最關鍵的因應策略

在機臺安全防護上，應用程式白名單已經成為最普遍提及的因應之道。特別是對於自動化生產、固定功能的電腦而言，用正面表列的方式來防護，限制惡意軟體無法任意執行。

掌控生產線內網環境的資安風險，網路監控與資產盤點不可少

不論如何，面對現今資安威脅的無孔不入，廠區內無法再以過去思維來看待，即便沒有資訊背景的人員，也要了解資安，並對許多防護概念有所認知。

例如，像是製造業的生產線病毒擴散，很大原因也是在於老舊系統的問題，而長期以來缺乏更新修補和其他防護措施的系統，也越來越容易成為目標，在白名單防護之外，企業就要考量這樣的狀況是否需要解決──一方面是自己要能管理更新修補，一方面是交由設備機臺廠商管理時，能否提供配套的解決方案。

對於廠區整體內網環境，企業過去可能不夠重視網路架構，與監控、管理上的問題，但到了現在，也要有因應之道。不論是降低易受攻擊表面，以及建立可防禦的環境，都是可採取的行動。

例如，過往廠區在內網環境下，大多都會要求對USB裝置施以嚴格管控，但網路環境的管理也不該鬆懈，像是關閉不需使用的通訊埠，對非信任的網路連接，同樣必須有嚴格的控管措施。而在防禦的資安設備上，主要採行的措施包括網路入侵防禦系統（IPS）、病毒檢測與防火牆等，並且對網路進行分區隔離，避免入侵的橫向傳播。此外，關於身分認證的管理，以及設備商、供應鏈的遠端存取，也都應該要有保護措施。

值得注意的是，企業要有能力掌控資安風險，不少業者提到建立網路可視化機制，也是一大關鍵，這也如同現在資安常談到的持續性監控，以即時監控完整的作業全貌。但是，對於生產機臺所處的網路環境而言，過往並不重視這樣的概念，然而，這應該也與網路架構與使用的網路協定相當多元有關。

因此，我們近年也看到許多工控網路資安的解決方案，就是主打支援多種OT網路深層的封包解析，包括半導體業專屬SECS/GEM通訊協定等，且多是強調被動式的監控，以減少對於生產線內網造成衝擊或影響。透過這類工具，能夠進一步掌握OT網路環境的動態，提供設備資安盤點與網路流量監控，即便威脅事件發生後，也能藉此診斷與因應。

談到資安事件的應變，也是現在企業不容迴避的問題，而為了降低危害與風險，建立事件應變與處理的流程與標準，就很重要。

從台積電的資安事件應變處理來看，從業界觀點來看，都是認為符合期待，因為要能夠在短時間內，確定事件影響範圍，找出問題發生原因並盡快復原，以及預估損失，的確是必須優先執行的工作。而在法規遵循上，除了因應臺灣證券交易法，發生對股東權益或證券價格有重大影響之事項時，遵循資訊揭露制度並召開重大訊息說明，企業也應關注對上級主管機關的資安通報，以免後續影響擴大。

值得一提的是，在對外公開的層面與態度，台積電其實為國內產業帶來了不錯的示範，因此，在某種程度上，這也足以喚起國內高科技業對資安的重視。

不過，管理面與流程面的問題，仍是現行企業要面對的難題，趨勢科技臺灣區暨香港區總經理洪偉淦就提到，例如負責生產機臺的人要如何應變、設備機臺的盤點能否落實、工廠的安全管理權責，而這也都要獲得高層主管的支持，特別是廠區的主管。

圖片來源／精誠資訊

工業物聯網環境與威脅生態成未來關注焦點

從整個工業物聯網環境與威脅的面向來看，機臺安全事件的問題，發生在終端裝置、網路傳輸管理，以及管控控制流程的層面，但隨著未來智慧製造的連網需求、IT與OT的交錯，整體產業環境還有更多威脅面向，也必須面對。

整體產業也必須跟著動起來，未來還有更交錯的IIOT環境需要面對

在上述企業自保之道以外，還有關於產業與人才層面的議題，值得關注。

舉例來說，設備機臺廠商本身就該對資安有所重視，甚至企業也要扭轉既定思維，反過來要求廠商提供相應防護措施，而不是任由產業變成賣方市場，才能促進整個產業的資安防護力。

在國內也有設備商開始這麼做，例如，研華科技表示，像是為了因應類似WannaCry病毒的事件，其實微軟在2017年3月就提供包含全產品線的修正檔案，Embedded版本也在同年5月提出產品的修補檔案，而他們也與微軟簽署技術支援合約，並在狀況發生時，要能提供最即時的協助。同時，由於新版本的Windows作業系統都內建Windows Defender，預設就有防毒軟體，而針對較舊的版本Windows，他們則提供工業環境適用的McAfee主動防護與Acronis備份還原方案，來協助強化機臺安全性。

此外，鑑於IT與OT雙方的技術背景，具有很大的認知差距，要推動資安也就不易。精誠資訊數位應用整合事業部協理賴哲維提到，其實現在也有資安廠商關注這個面向，例如，Cyberbit Range是一個模擬攻防演練系統，可用來訓練IT與OT的人員，分別遇到資安事件要如何反應，甚至是培養橫跨領域的技術與經驗。

未來，更不容我們忽視的是，現在製造業已經在談智慧製造、生產自動化等議題，目的自然是為了提高生產和效率，因此導入物聯網、大數據與AI帶來各種創新應用，不僅如此，近年臺灣政府為協助產業轉型，於時，智慧製造也成為國家政策之一，因此，工業網路勢必朝向越來越開放的局面，資安環節也就愈來愈重要。

當然，從高科技製造業的生產機臺問題，往上延伸就是整個OT領域的安全，包括工業製造領域，以及水力供給、電力能源、交通運輸等關鍵基礎設施。再上一層，則是近年所在談的工業物聯網（Industrial Internet of Things，IIOT），如何整合IT與OT，將是大勢所趨。

無論如何，都必須喚起這些領域的資安意識，其實，這四五年來，各國政府對關鍵基礎建設安全，就已經採取高度重視的態度，積極強化相關防禦措施。對於國內的高科技製造業而言，因為環境正在改變，防護觀念也必須調整，資安必須列為優先考量。

機臺防護四大構面

關於機臺安全防護，資安業者賽門鐵克也以四大構面來說明，包括進階防護、系統管控、網路防護，以及稽核與警告。特別的是，在這當中他們並強調，應用程式白名單就是所有防護構面最重要的一點。

進階防護

● 應用程式白名單 ● 防止零時差攻擊 ● 限制作業系統行為 ● 緩衝區溢位及DLL Inject防護 ● 漏洞攻擊預防

系統管控

● 鎖住組態設定值 ● 防止提高系統管理員權限 ● 限制裝置存取 ● 防止未授權安裝 ● 勒索軟體防護

網路防護

● 依應用程式限制連線能力 ● 關閉後門程式 ● 詳細紀錄存取資訊

稽核與警告

● 監控檔案與目錄權限變更 ● 監控使用者與群組新增/修改 ● 提出警示/通知，以便早期應變

資料來源：賽門鐵克，iThome整理，2018年10月

2017－2018製造業生產線資安事件

2017年5月

在WannaCry勒索病毒剛開始在全球爆發時，雷諾-日產（Renault–Nissan）位於日本、英國、法國、羅馬尼亞和印度的汽車製造工廠，就造成短暫停產的影響。

2017年6月

日本汽車大廠本田（Honda），因發現WannaCry而緊急關閉琦玉縣一座工廠近兩天，影響千餘輛車的生產。不過，本田也表示，其他工廠都未受到影響。

2018年3月

時至2018年，WannaCry又導致美國波音（Boeing）的工廠中招，影響該公司北卡羅萊納州的工廠，後續他們則坦承，他網路安全中心偵測少數設備系統遭受入侵，不影響正常的產線或運輸。

2018年8月

最近，臺灣半導體晶圓製造龍頭台積電，仍然遭受到WannaCry變種病毒危害，造成晶圓廠產線大當機，肇因於安裝新機臺，導致位於臺灣的多個廠房和產線停工。

資料來源：iThome整理，2018年10月

保護工業控制系統的7大策略

對於製造業機臺安全，以及各式工業控制系統環境的安全問題，在2015年，美國國土安全部工業控制系統緊急應變小組（ICS-CERT），其實也就曾經建議了7大保護策略，可供企業當作參考。

根據當時ICS-CERT的研究，已經關注到ICS安全的問題日益嚴重的趨勢，他們並指出，增加外圍防護的方式，像是部署防火牆等，已經明顯不足，而在他們提出的所有策略中，部署應用程式白名單，就是第一個要強調的重點。

策略1　實施應用白名單

策略2　確保正確的配置與修補程式管理

策略3　減少易受攻擊受面

策略4　建構可防禦的環境

策略5　使用者身分與認證管理

策略6　部署安全的遠端存取

策略7　做好監控與應變

資料來源：ICS-CERT，iThome整理，2018年10月

2018年10月22日星期一

蘭陽訪友有感

輕描淡寫的一句人世無常
在黑髮中藏不住的風霜
誰的人生沒遇過難題?
我們以為的日常一路走來才知是無常
哭過笑過愛過恨過痴過嗔過
最後也只能選擇放下

人在怎麼有本事
也難以對抗命運的不仁慈

再聚首單純依舊笑容依舊
但我們都鬢已星星也

2018年10月18日星期四

[新聞]再傳臺灣食品貿易商受害，商業電郵詐騙平均每週一起

近日，刑事警察局預防科提醒，公司採購與會計人員特別注意，有網路犯罪集團監聽企業郵件內容一年，最後以偽冒詐騙手法，讓知名肉品公司被騙走540萬。這樣的網路威脅，去年已經為臺灣企業造成上億元的損失。

針對企業的電子郵件詐騙（BEC），身為企業高層主管、採購與財務負責人，可要當心！這是全球跨國貿易企業，都必須關注的郵件資安問題，臺灣也不例外。

關於這樣的網路攻擊，去年已經為臺灣企業帶來嚴重傷害，警方受理BEC詐騙案件共54件，平均每周就有一家企業遇害，而損失金額更是高達1億8736萬元。

本月15日，刑事警察局再次發出警告，因為9月底連續發生兩起事件，再次造成兩家貿易公司損失，金額為數百萬到數十萬元不等。

刑事局預防科表示，位於臺中的某知名肉品貿易公司，日前向巴拉圭供應商採購一批肉品，在9月22日收到對方以郵件通知，要更改匯款帳號，並要求7日內匯款，因此，於28日匯款17萬5千美元（約540萬元）。但是，在10月2日該肉品公司董事長，接獲巴拉圭供應商來電表示，尚未收到貨款。

調查後才發現，與客戶往來的電子郵件信箱出現假冒，原本正確的電子郵件帳號是gr****m@ fi****pcion.com.py，但詐騙集團以使用者名稱相同，而網域名稱不同的電子信箱（gr****m@ fi****pcion-py.com），來混淆企業使用者。由於兩個電子郵件信箱很像，導致可能只看使用者名稱的聯絡人員，一時不察就會中招。

甚至，在過去1年多以來，由犯罪集團使用的偽冒Email，已經與肉品公司郵件往返數次，並模仿供應商口吻與稱呼方式，這也意謂著，犯罪集團監聽企業電子郵件帳戶已久，伺機而動，等到關鍵時刻要收受大筆金額貨款時，才突然要求變更匯款帳號，讓企業損失慘重。

另一家漁貨貿易公司也是如此，他們在9月23日向美國供應商訂購一批冷凍鯖魚，然後在27日收到變更匯款帳號的通知郵件，由於國外匯款需3至5個工作天，等到事後細查才發現是假冒的電子郵件，導致該漁貨公司損失66萬元。

在國際上，我們也不斷看到相關新聞，不論企業規模大小，都不能忽視這樣的網路威脅。像是去年底日本航空JAL對外坦承，網路犯罪者假冒出租波音客機的業者，導致他們被詐騙了3億8400萬日圓（約1億176萬元）。

由於這類BEC詐騙事件不斷讓企業受害，若是企業對於這類郵件詐騙手法還不熟悉，也請記住幾個原則，遇到「變更匯款通知」信件，務必從「第二管道」與對方確認。

無論如何，對於假冒電子郵件信箱的手法，用戶必須多加認識，而這些事件也顯示，企業郵件往來內容早被掌握，才會在關鍵時刻遭詐騙，因此，多方確認仍是降低郵件詐騙風險的關鍵。

認識「商務電子郵件詐騙」

商業電子郵件詐騙（Business E-mail Compromise，BEC），也簡稱BEC詐騙。

受害對象 ：與國外供應商或業務有所往來的企業，特別是製造、食品、零售、運輸等傳統類型產業，若資安警覺性較低，受害可能性高。

攻擊手法 ：根據美國FBI在今年7月發布的BEC詐騙統計報告指出，今年最熱門的BEC手法，包括：（一）入侵企業執行長或財務長的電子郵件帳號以進行詐騙，（二）偽裝成房地產的賣家，（三）入侵高層郵件帳號並索取報稅資料，（四）偽裝成企業供應鏈，（五）或是冒充律師事務所客戶，以變更匯款帳戶等，提醒企業必須小心。

資料來源：https://www.ithome.com.tw/news/126447?fbclid=IwAR0dY3ox57bMoDC0T9_ha0qwKDSdl0kSD4_YiMfgAAKiL2d7Vpgv7QXLH6E

2018年10月13日星期六

那些花兒

有些故事還沒講完那就算了吧
那些心情在歲月中已經難辨真假
如今這裡荒草叢生沒有了鮮花
好在曾經擁有你們的春秋和冬夏
她們都老了吧
她們在哪裡呀
我們就這樣
各自奔天涯

2018年10月11日星期四

《APT 攻擊》南韓爆發史上最大駭客攻擊企業及個人用戶電腦皆停擺

資料來源：https://blog.trendmicro.com.tw/?p=2566

2013 年 03 月 22 日 Trend Labs 趨勢科技全球技術支援與研發中心 APT / APT攻擊 / APT 進階持續性威脅/ Advanced Persistent Threat, 南韓遭受駭客攻擊, 新聞稿, 重大資安事件

3 月 20 日當天，南韓三家大型銀行和兩家最大電視台因為遭到目標式攻擊而陷入癱瘓，造成許多南韓人無法從 ATM 提款，電視台人員無法作業。

【2013 年03月21日台北訊】駭客針對南韓主要銀行、媒體，以及個人電腦發動大規模攻擊，截至目前為止，趨勢科技已經發現多重攻擊。駭客主要針對南韓主要銀行與媒體的補丁更新伺服器（patch management server）佈署惡意程式，造成受攻擊企業內部的電腦全面無法開機，作業被迫停擺；另一攻擊則針對南韓的企業網站，有的網站遭攻擊停擺，有的網站則是使用者造訪該網站都會被導向位於海外的假網站，並被要求提供許多個人資訊；此外，駭客並針對個人用戶發動電子郵件釣魚攻擊，假冒南韓銀行交易記錄名義，誘騙使用者下載內含木馬程式TROJ_KILLMBR.SM的執行檔，使用者電腦開機區遭到覆蓋，導致使用者無法開機。

趨勢科技內部偵測到的針對企業內部的目標攻擊，目前已知受影響的企業主要為銀行以及媒體。這波攻擊以企業補丁更新伺服器（Patch Management Server）為標的，駭客成功入侵受害企業的補丁更新伺服器佈署惡意程式，該惡意程式會隨著企業員工電腦定期下載補丁(Patch) 而散佈至企業內部，造成企業內部電腦全面停擺，無法進行作業。

另一個攻擊則針對企業網站進行攻擊，目前已知南韓知名企業網站遭到入侵，並恐有被植入不明惡意程式之可能。除了企業之外，駭客並針對銀行使用者展開一波社交工程陷阱( Social Engineering)郵件攻擊。駭客透過一封假冒南韓銀行的信件，信件內容表示為使用者的交易記錄，要求使用者打開附件，附件內容其實為一個執行檔，一旦使用者下載執行後，將被下載一個名為TROJ_KILLMBR.SM的惡意程式，電腦開機區的所有資訊將被覆蓋，導致電腦無法開機。

趨勢科技表示，此惡意連結已遭趨勢科技封鎖。但值得注意的是，不排除駭客會展開另一波新的攻擊。根據過往的案例分析，許多網路釣魚（Phishing）電子郵件看起來可能跟原公司的電子郵件一模一樣。使用者應該仔細閱讀電子郵件，而且去驗證電子郵件內容的正確性。除此之外，勿隨意開啟郵件中所附的連結或檔案，更勿輕易提供個人資料。

趨勢科技Deep Discovery在第一時間即已偵測到此社交工程郵件攻擊，並偵測其內含HEUR_NAMETRICK. B 惡意檔案。趨勢科技呼籲用戶使用最新病毒碼，以提供相對應的防護。更多Deep Discovery相關訊息請參考

更多與此攻擊相關訊息請參考

*APT 攻擊案例:[線上小學堂]南韓青瓦台攻擊事件

補充說明

事件概要

週三（3/20）韓國多家銀行與三大電視臺內部的電腦無法開機，有一些電腦螢幕顯示骷髏頭的圖片與自稱為“WhoIs”團隊的警告資訊，這些現象顯現有駭客組織發起此次攻擊，但是也有一些人相信這是來自朝鮮的報復行動。

目前已知受害者：

電視臺	銀行
– KBS- MBC- YTN	– 新韓銀行- 農協銀行- Jeju

攻擊手法

此次攻擊具有典型APT特徵，包括魚叉式網路釣魚（Phishing）郵件、水坑攻擊（Watering hole）與自我毀滅等。

魚叉式釣魚郵件
- 利用郵件傳送惡意程式，連接以下的惡意網站
  - hxxp:// www. Clickflower. net/board/images/start_car.gif
  - hxxp:// www .6885 .com/ uploads/fb9c6013f1b269b74c8cd139471b96fc/feng.jpg
受感染的電腦被用來作為跳板，攻擊者進一步滲透內部重要伺服器，包括補丁管理系統與網站伺服器
水坑攻擊（Watering hole） – 這是最近的一種攻擊方式，攻擊者侵入目標族群經常訪問的合法網站或伺服器並植入惡意程式，當使用者訪問了這些網站，就會遭受感染。最近的例子是蘋果內部電腦遭受漏洞攻擊，攻擊者在iPhone開發者論壇植入惡意程式，訪問的使用者以蘋果軟體的開發人員為主。這些開發人員齊聚在這個論壇，就像聚集在沙漠中的水坑一樣。
- 韓國企業的補丁管理伺服器與合法網站被入侵，連接的電腦都感染了惡意程式。
- 自我毀滅 – 複寫電腦的Master Boot Record (MBR)，讓後續的分析調查難以進行