マカフィーは、3月4日に発生した韓国政府や軍部、民間の主要インフラ、在韓米軍、韓国群山の米空軍基地への分散型サービス拒否(DDoS)攻撃について、自社ブログで解説している。

 2009年7月4日、アメリカ独立記念日に、アメリカや韓国のサイトに対して大規模な攻撃が行われている。今年3月4日の攻撃は、2009年の攻撃からちょうど20か月後に該当し、攻撃対象となったウェブサイトは40に上る。韓国を拠点とするボットネットが新しいマルウェアバイナリによって動的に更新され、約10日間にわたって継続的にDDoS攻撃を行った。

 攻撃者は、攻撃に使用したマシンにゼロを上書きし、ソースファイルや文書など主要なデータファイルを削除し、最終的にはマスターブートレコード(MBR)を初期化することで、マシンを起動できないようにした。

 3月の攻撃の大きな特徴は、DDoS攻撃のような単純な攻撃にしては、非常に巧妙だったこと。攻撃に対する分析を遅らせるために、AESやRC4、RSAなど複数の暗号化アルゴリズムを使用し、攻撃コンポーネントのコードなどの難読化が行われた。

 また、世界で40以上の重層的なコマンド&コントロールサーバーのうち、アメリカ、台湾、サウジアラビア、ロシア、インドが全体の半数以上を占めている。これは、サーバーを複数の国に分散することで、攻撃態勢を崩された場合、体制を早期に立て直すためとみられる。また、コードの分析から、複数の個人が開発に関わっていたことが明らかになっている。

 マカフィーは、3月の攻撃について、95%の確率で2009年7月4日の攻撃と同じ人物が関わっていたと分析。攻撃者は、反韓・反米の政治的目標をもち、マルウェアの暗号化や難読化、配布方法、攻撃後のデータやマシンの破壊から、韓国当局の迅速な分析や修復を回避することが主目的の一つだったと予想している。

 一方で、3月の攻撃は韓国政府のサイバー攻撃に対する防衛力や、組織化・難読化された攻撃に対する韓国政府や民間ネットワークの反応時間を試すために、北朝鮮軍部が仕かけた「サイバー攻撃演習」の可能性がある、という見方も示している。