Een Zuid-Koreaanse kerncentrale is onlangs het doelwit van een aanval geworden waarbij aanvallers allerlei gegevens wisten te stelen en malware gebruikten om de harde schijven van besmette computers te wissen, zo meldt het Japanse anti-virusbedrijf Trend Micro.

Volgens de virusbestrijder hebben de aanvallers waarschijnlijk een phishingmail gebruikt om de vernietigende malware te verspreiden. De phishingmail bevatte een bijlage die misbruik van een lek in de Hangul Word Processor (HWP) maakte, een veel gebruikt kantoorprogramma in Zuid-Korea. Na het openen van de bijlage werd er een Trojan dropper geïnstalleerd, die vervolgens de wiper-malware installeerde. Deze malware wist de Master Boot Record (MBR) van harde schijven, waardoor het besturingssysteem niet kan worden opgestart. Ook worden specifieke bestanden op machine overschreven.

Volgens Trend Micro is het wissen van harde schijven vaker voorgekomen. Zo gebruikten aanvallers deze tactiek bij een aanval in maart 2013 tegen Zuid-Koreaanse banken en televisiemaatschappijen en bij de recente aanval op Sony Pictures Entertainment. De drie aanvallen hebben verschillende overeenkomsten, zoals het herhalen van de string waarmee de MBR wordt overschreven. Bij Sony werd het patroon "0xAAAAAAAA" herhaald, terwijl de nu ontdekten malware de string "Who Am I?" gebruikte.

Ondanks de overeenkomsten is er volgens het anti-virusbedrijf onvoldoende bewijs om te concluderen dat de aanval door dezelfde groep is uitgevoerd of dat de aanvallen aan elkaar gerelateerd zijn. Alle drie de aanvallen zijn namelijk uitgebreid beschreven en het kan zijn dat de aanvallers achter elke aanval door de ander "geïnspireerd" raakten. Wel laat het zien dat het gebruik van MBR-wissende malware inmiddels bij verschillende aanvallers onderdeel van het arsenaal is geworden.