Casa Vigilant de seguretat L'atac de Corea del Sud no des de la direcció de l'IP xinesa després de tot

L'atac de Corea del Sud no des de la direcció de l'IP xinesa després de tot

Vídeo: Satisfying Video l Kinetic Sand Nail Polish Foot Cutting ASMR #7 Rainbow ToyTocToc (De novembre 2024)

Vídeo: Satisfying Video l Kinetic Sand Nail Polish Foot Cutting ASMR #7 Rainbow ToyTocToc (De novembre 2024)
Anonim

Sembla que els recents ciberatacs contra bancs i cadenes de televisió de Corea del Sud poden no haver-se originat a la Xina, van dir divendres els funcionaris del país.

"Vam estar descuidats en els nostres esforços de doble comprovació i triple revisió", va declarar divendres als oficials de la Comissió de Comunicacions de Corea, Lee Seung, als periodistes. "Ara farem anuncis només si la nostra prova és certa", va dir Lee.

El 20 de març, les estacions de televisió coreanes KBS, MBC i YTN, així com les institucions bancàries Jeju, NongHyup i Shinhan es van infectar amb un programari maliciós que esborrava les dades dels discos durs, fent que els sistemes no funcionessin. El KCC havia dit anteriorment que una adreça IP xinesa accedia al servidor de gestió d'actualitzacions del banc NongHyup per distribuir el malware "esborrador", que va esborrar les dades d'un estimat 32.000 sistemes Windows, Unix i Linux entre les sis organitzacions afectades.

Sembla que KCC va confondre una adreça IP privada utilitzada per un sistema NongHyup com a adreça IP xinesa perquè eren "casualment" les mateixes, segons l'informe Associated Press. Els funcionaris han requisat el disc dur del sistema, però no està clar en aquest moment on es va originar la infecció.

"Encara seguim algunes adreces IP dubtoses que se sospita que es basen a l'estranger", va dir als periodistes Lee Jae-Il, vicepresident de l'agència de seguretat d'Internet i de Corea.

L'atribució és difícil

Poc després que KCC afirmés que l'atac es va originar a partir d'una adreça IP a la Xina, els oficials de Corea del Sud van acusar Corea del Nord d'estar darrere d'aquesta campanya. Corea del Sud havia acusat el seu veí del nord d'utilitzar adreces IP xineses per dirigir-se al govern de Corea del Sud i els llocs web de la indústria en atacs anteriors.

Tot i això, només una única adreça IP no és una prova concloent, ja que hi ha molts altres grups patrocinats per l'estat i bandes ciber-criminals que utilitzen servidors xinesos per llançar atacs. També hi ha moltes tècniques que els atacants poden utilitzar per ocultar les seves activitats o fer semblar que ve d'algun altre lloc.

Aquest error del KCC, tot i vergonyós per al govern sud-coreà, posa de manifest perfectament per què és tan difícil identificar els orígens i els autors d’un ciberatac. L'atribució d'atacs pot ser "extremadament difícil", va dir Lawrence Pingree, director d'investigació de Gartner.

El repte rau en el fet que "la contraintel·ligència es pot utilitzar a Internet com ara esporgar IP de font, utilitzar servidors de proxy, utilitzar botnets per proporcionar atacs fora d'altres ubicacions", va dir Pingree. Els desenvolupadors de programari maliciós poden utilitzar mapes de teclat d’idiomes diferents.

"Un xinès americà o europeu que entengui el xinès però desenvolupa les seves gestions pel seu país d'origen donarà lloc a una atribució problemàtica o impossible", va dir Pingree.

Detalls de l’atac

L'atac sembla que s'ha llançat mitjançant diversos vectors d'atac i les autoritats han llançat una investigació "multilateral" per identificar "totes les rutes d'infiltració possibles", segons un informe de l'Agència de Notícies de Corea del Sud Yonhap. Lee de KCC ha descartat la possibilitat que l'atac sigui d'origen sud-coreà, però no ha elaborat el perquè.

Almenys un vector sembla ser una campanya de pesca contra la llança que incloïa un programari contra el programari maliciós, van trobar els investigadors de Trend Micro. Algunes organitzacions sud-coreanes han rebut un missatge del banc de correu brossa amb un fitxer adjunt maliciós. Quan els usuaris van obrir el fitxer, el programari maliciós va descarregar programari maliciós addicional, incloent-hi un eixuga de comandes d'arrencada de registre de Windows i scripts bash dirigits a sistemes Unix i Linux connectats a la xarxa, des de diversos URL.

Els investigadors han identificat una "bomba lògica" al limpiaparabrots del MBR de Windows que va mantenir el malware en un estat "de son" fins al 20 de març a les 14:00. A l’hora indicada, el programari maliciós va activar i va executar el seu codi maliciós. Els informes dels bancs i les emissores de televisió confirmen que les pertorbacions van començar cap a les 14:00 del mateix dia.

A divendres, els bancs Jeju i Shinhan havien restaurat les seves xarxes i NongHyup encara estava en marxa, però els tres tornaven a estar en línia i eren funcionals. Les estacions de televisió KBS, MBC i YTN havien restaurat només el 10 per cent dels seus sistemes i la recuperació completa podria trigar setmanes. Tot i això, les emissores van dir que les seves capacitats de transmissió mai no es van veure afectades, segons KCC.

L'atac de Corea del Sud no des de la direcció de l'IP xinesa després de tot