Domov Varnostna ura Južna Koreja napada navsezadnje ne s kitajskega IP naslova

Južna Koreja napada navsezadnje ne s kitajskega IP naslova

Video: Ljudi i moć - Bestidna Evropa - 2.dio - Subota 17:30 (November 2024)

Video: Ljudi i moć - Bestidna Evropa - 2.dio - Subota 17:30 (November 2024)
Anonim

Kaže, da nedavni kibernetski napadi na južnokorejske banke in televizijska omrežja morda niso nastali na Kitajskem, so v petek sporočili uradniki te države.

"V prizadevanjih za dvojno preverjanje in trojno preverjanje smo bili neprevidni, " je v petek novinarjem povedal novinar Korejske komisije za komunikacije Lee Seung-win. "Zdaj bomo objavili le, če bodo naši dokazi zanesljivi, " je dejal Lee.

20. marca so bile korejske televizijske postaje KBS, MBC in YTN, pa tudi bančne ustanove Jeju, NongHyup in Shinhan okužene z zlonamerno programsko opremo, ki je izbrisala podatke s trdih diskov in je sisteme razveljavila. KCC je pred tem dejal, da je kitajski IP naslov dostopil do strežnika za upravljanje posodobitev v banki NongHyup za distribucijo zlonamerne programske opreme za brisalce, ki je izbrisala podatke iz ocenjenih 32.000 sistemov Windows, Unix in Linux v šestih prizadetih organizacijah.

Kaže, da je KCC napačno uporabil zasebni naslov IP, ki ga uporablja sistem NongHyup kot kitajski naslov IP, ker sta bila "naključno" enaka, navaja poročilo Associated Press. Uradniki so zasegli trdi disk sistema, vendar na tem mestu še ni jasno, od kod okužba izvira.

"Še vedno sledimo nekaj dvomljivih naslovov IP, za katere obstaja sum, da imajo sedež v tujini, " je novinarjem dejal Lee Jae-Il, podpredsednik korejske agencije za internet in varnost.

Pripisovanje je težko

Kmalu potem, ko je KCC trdil, da napad izvira iz naslova IP na Kitajskem, so južnokorejski uradniki obtožili Severno Korejo, da stoji za to kampanjo. Južna Koreja je obtožila severnega soseda, da uporablja kitajske naslove IP za ciljanje na spletne strani južnokorejske vlade in industrije v prejšnjih napadih.

Vendar pa samo en naslov IP ni prepričljiv dokaz, saj obstaja veliko drugih skupin, ki jih sponzorira država, in kibernetske kriminalne tolpe, ki uporabljajo kitajske strežnike za izvajanje napadov. Obstaja tudi veliko tehnik, ki jih napadalci lahko uporabijo, da skrijejo svoje dejavnosti ali da se zdi, kot da prihajajo od drugod.

Ta napaka KCC-ja, čeprav je sramotna za južnokorejsko vlado, odlično poudarja, zakaj je tako težko identificirati poreklo in storilce kibernetskega napada. Pripisovanje napadov je lahko "izjemno težko", je dejal Lawrence Pingree, direktor raziskave pri Gartnerju.

Izziv je v dejstvu, da se lahko v internetu uporablja protiobveščevalna inteligenca, kot je ponarejanje IP izvornih virov, uporaba proxy strežnikov, uporaba botnetov za izvajanje napadov z drugih lokacij in druge metode, je dejal Pingree. Razvijalci zlonamerne programske opreme lahko na primer uporabljajo zemljevide tipkovnic iz različnih jezikov.

"Kitajski Američan ali Evropejec, ki razume kitajsko, vendar razvija svoje podvige za državo izvora, bo povzročilo problematično ali nemogoče pripisovanje, " je dejal Pingree.

Podrobnosti o napadu

Zdi se, da se je napad začel z uporabo več vektorjev napadov, oblasti pa so začele "večstransko" preiskavo, da bi prepoznale "vse možne poti infiltracije", poroča poročilo južnokorejske novinske agencije Yonhap. Lee KCC je zavrnil možnost napada južnokorejskega izvora, vendar ni želel pojasniti, zakaj.

Vsaj en vektor je videti, da gre za lažno predstavljanje, ki je vključevalo kapalko zlonamerne programske opreme, so ugotovili raziskovalci Trend Micro. Nekatere južnokorejske organizacije so prejele neželeno sporočilo z bančno datoteko. Ko so uporabniki odprli datoteko, je zlonamerna programska oprema z več naslovov naložila dodatno zlonamerno programsko opremo, vključno z glavnim brisalcem zapisov za zagon sistema Windows in skriptami, ki ciljajo na omrežje, ki sta povezana z sistemoma Unix in Linux.

Raziskovalci so v brisalcu Windows MBR ugotovili "logično bombo", ki je zlonamerno programsko opremo ohranila v stanju "spanja" do 20. marca ob 14. uri. V določenem času je zlonamerna programska oprema aktivirala in izvedla svojo zlonamerno kodo. Poročila bank in televizijskih postaj potrjujejo, da so se motnje začele okoli 14. ure tega dne.

Od petka sta banke Jeju in Shinhan obnovili svoje omrežje, NongHyup pa je še vedno potekal, vendar so se vse tri spet vrnile prek spleta in postale funkcionalne. Televizijske postaje KBS, MBC in YTN so obnovile le 10 odstotkov svojih sistemov, popolno okrevanje pa bi lahko trajalo tedne. Kljub temu so postaji povedali, da njihove zmogljivosti za oddajanje niso nikoli vplivale, je dejal KCC.

Južna Koreja napada navsezadnje ne s kitajskega IP naslova