Domov Securitywatch Južná Kórea zaútočí nie z čínskej IP adresy

Južná Kórea zaútočí nie z čínskej IP adresy

Video: Как узнать IP человека через ссылку | Обзор сервиса GRABIFY IP LOGGER (November 2024)

Video: Как узнать IP человека через ссылку | Обзор сервиса GRABIFY IP LOGGER (November 2024)
Anonim

Zdá sa, že nedávne počítačové útoky proti juhokórejským bankám a televíznym sieťam pravdepodobne nevznikli v Číne, informovali predstavitelia krajiny.

"V našej snahe o dvojitú kontrolu a trojitú kontrolu sme boli nedbalí, " uviedol v piatok novinárom Kórejskej komunikačnej komisie Lee Seung. „Teraz urobíme oznámenia, iba ak budú naše dôkazy isté, “ povedal Lee.

20. marca boli kórejské televízne stanice KBS, MBC a YTN, ako aj bankové inštitúcie Jeju, NongHyup a Shinhan napadnuté škodlivým softvérom, ktorý vymazal údaje z pevných diskov, čím sa systémy znefunkčnili. KCC predtým uviedla, že čínska IP adresa vstúpila na server správy aktualizácií v banke NongHyup, aby distribuovala malware „stierača“, ktorý vymazal údaje z odhadovaných 32 000 systémov Windows, Unix a Linux v šiestich postihnutých organizáciách.

Zdá sa, že KCC si pomýli súkromnú IP adresu používanú systémom NongHyup ako čínsku IP adresu, pretože podľa správy Associated Press boli „náhodou“ rovnaké. Úradníci chytili pevný disk systému, ale v tomto bode nie je jasné, odkiaľ infekcia vznikla.

„Stále sledujeme pochybné adresy IP, o ktorých existuje podozrenie, že majú sídlo v zahraničí, “ povedal novinárom Lee Jae-Il, viceprezident Kórejskej agentúry pre internet a bezpečnosť.

Uvedenie autora je náročné

Krátko po tom, čo KCC tvrdil, že útok pochádzal z adresy IP v Číne, juhokórejskí predstavitelia obvinili Severnú Kóreu, že je za touto kampaňou. Južná Kórea obvinila svojho severného suseda z použitia čínskych IP adries na zacielenie juhokórejských vládnych a priemyselných webových stránok pri predchádzajúcich útokoch.

Iba jediná adresa IP však nie je presvedčivým dôkazom, pretože existuje veľa ďalších skupín sponzorovaných štátom a počítačov zločineckých skupín, ktoré na spustenie útokov používajú čínske servery. Existuje tiež veľa techník, ktoré môžu útočníci použiť na skrytie svojich aktivít alebo na to, aby vyzerali, akoby to pochádza z iného miesta.

Táto chyba KCC, hoci je pre juhokórejskú vládu trápna, dokonale zdôrazňuje, prečo je také ťažké identifikovať pôvod a páchateľov kybernetického útoku. Pripisovanie útokov môže byť „mimoriadne ťažké“, povedal Lawrence Pingree, vedúci výskumu v spoločnosti Gartner.

Výzva spočíva v tom, že „na internete možno použiť kontrarozviedku, ako je spoofing zdrojových IP adries, použitie proxy serverov, používanie botnetov na doručovanie útokov z iných miest“, a ďalšie metódy, povedal Pingree. Vývojári škodlivého softvéru môžu napríklad používať klávesové mapy rôznych jazykov.

„Číňan alebo Američan, ktorý rozumie Číňanom, ale rozvíja svoje výhody pre svoju krajinu pôvodu, bude mať za následok problematické alebo nemožné pripisovanie, “ povedal Pingree.

Podrobnosti o útoku

Zdá sa, že útok sa začal pomocou viacerých útočných vektorov a orgány podľa správy od juhokórejskej tlačovej agentúry Yonhap začali „multilaterálne“ vyšetrovanie zamerané na identifikáciu „všetkých možných infiltračných trás“. Lee KCC odmietol možnosť útoku juhokórejského pôvodu, odmietol však rozpracovať dôvod.

Vedci Trend Micro zistili, že aspoň jeden vektor je kampaňou zameranou na phishing, ktorá zahŕňala program na odstraňovanie škodlivého softvéru. Niektoré juhokórejské organizácie dostali správu o nevyžiadanej pošte so škodlivou prílohou. Keď používatelia otvorili súbor, malware stiahol z viacerých adries URL ďalší malware, vrátane stieračov hlavného zavádzacieho záznamu Windows a bash skriptov zacielených na systémy Unix a Linux pripojené k sieti.

Vedci identifikovali „logickú bombu“ na stierači Windows MBR, ktorý malvér udržiaval v „spánku“ do 20. marca o 14:00. V stanovenom čase malware aktivoval a spustil škodlivý kód. Správy bánk a televíznych staníc potvrdzujú, že prerušenie sa začalo okolo 14:00 toho dňa.

V piatok banky Jeju a Shinhan obnovili svoje siete a NongHyup stále prebieha, ale všetky tri boli späť online a funkčné. Televízne stanice KBS, MBC a YTN obnovili iba 10 percent svojich systémov a úplné zotavenie môže trvať týždne. Stanice však uviedli, že ich vysielacie schopnosti neboli nikdy ovplyvnené, uviedla KCC.

Južná Kórea zaútočí nie z čínskej IP adresy