Video: LUCRURI CE NU-MI PLAC IN COREEA DE SUD! (Noiembrie 2024)
Se pare că recentele atacuri cibernetice împotriva băncilor și rețelelor de televiziune din Coreea de Sud s-ar putea să nu aibă originea în China, au declarat oficialii țării vineri.
"Am fost nepăsători în eforturile noastre de a verifica dublu și de a verifica triplu", a declarat vineri, oficialul Comisiei coreene a Comisiei de comunicații, Lee Seung, câștigat. "Acum vom face anunțuri doar dacă probele noastre sunt sigure", a spus Lee.
Pe 20 martie, posturile de televiziune coreene KBS, MBC și YTN, precum și instituțiile bancare Jeju, NongHyup și Shinhan au fost infectate cu un malware care a șters datele de pe hard disk-uri, ceea ce face ca sistemele să nu funcționeze. KCC a spus anterior că o adresă IP chineză a accesat serverul de gestionare a actualizărilor la banca NongHyup pentru a distribui malware „ștergătorul”, care a șters datele de la aproximativ 32.000 de sisteme Windows, Unix și Linux în cele șase organizații afectate.
Se pare că KCC a confundat o adresă IP privată folosită de un sistem NongHyup ca adresă IP chineză, deoarece au fost „coincidențe” la fel, potrivit raportului Associated Press. Oficialii au preluat hard disk-ul sistemului, dar nu este clar în acest moment de unde a apărut infecția.
"Încă urmărim câteva adrese IP dubioase, care sunt suspectate că vor avea sediul peste hotare", a declarat reporterilor Lee Jae-Il, vicepreședintele Coreei Internet and Security Agency.
Atribuirea este dificilă
La scurt timp după ce KCC a revendicat atacul provenit de la o adresă IP din China, oficialii sud-coreeni au acuzat Coreea de Nord că se află în spatele acestei campanii. Coreea de Sud și-a acuzat vecinul din nord că a folosit adrese IP chineze pentru a viza țările web ale guvernului sud-coreean și site-urile industriei în atacurile anterioare.
Cu toate acestea, doar o singură adresă IP nu este o dovadă concludentă, având în vedere că există o mulțime de alte grupuri sponsorizate de stat și bande criminale care folosesc serverele chineze pentru a lansa atacuri. Există, de asemenea, o mulțime de tehnici pe care atacatorii le pot folosi pentru a-și ascunde activitățile sau pentru a face să pară că vine dintr-un alt loc.
Această greșeală a KCC, deși jenantă pentru guvernul sud-coreean, evidențiază perfect de ce este atât de dificil să identificăm originile și autorii unui atac cibernetic. Atribuirea atacurilor poate fi „extrem de dificilă”, a spus Lawrence Pingree, director de cercetare la Gartner.
Provocarea constă în faptul că „contraspionajul poate fi folosit pe internet, precum spoofing IP-urile sursă, folosirea serverelor proxy, utilizarea botnet-urilor pentru a livra atacuri din alte locații”, a spus Pingree. Dezvoltatorii malware pot folosi hărți cu tastatură de limbi diferite, de exemplu.
"Un chinez american sau european care înțelege chineza, dar își dezvoltă exploatările pentru țara de origine, va duce la o atribuire problematică sau imposibilă", a spus Pingree.
Detalii despre atac
Atacul pare să fi fost lansat folosind mai multe vectori de atac, iar autoritățile au lansat o anchetă „multilaterală” pentru a identifica „toate rutele posibile de infiltrare”, potrivit unui raport al agenției de știri Yonhap din Coreea de Sud. Lee KCC a redus posibilitatea atacului de origine sud-coreeană, dar a refuzat să explice de ce.
Cel puțin un vector pare a fi o campanie de phishing de suliță care a inclus un picătoare de malware, au descoperit cercetătorii Trend Micro. Unele organizații sud-coreene au primit un mesaj al băncii de spam cu un fișier atașat rău intenționat. Când utilizatorii au deschis fișierul, programul malware a descărcat malware suplimentar, inclusiv un ștergător de înregistrare Windows boot și scripturi bash care vizează sistemele Unix și Linux atașate în rețea, de la mai multe adrese URL.
Cercetătorii au identificat o „bombă logică” în ștergătorul Windows MBR, care a ținut malware-ul în stare de „adormire” până pe 20 martie la 14:00. La momentul stabilit, programul malware a activat și a executat codul său rău intenționat. Rapoartele de la bănci și posturi de televiziune confirmă că perturbările au început în jurul orei 14:00 în acea zi.
Începând de vineri, băncile Jeju și Shinhan își restabiliseră rețelele și NongHyup era încă în curs, dar toate cele trei erau din nou online și funcționale. Posturile de televiziune KBS, MBC și YTN au restabilit doar 10 la sută din sistemele lor, iar recuperarea completă poate dura săptămâni întregi. Cu toate acestea, posturile au spus că capacitățile lor de difuzare nu au fost niciodată afectate, KCC a spus.