Koti Securitywatch Etelä-Korean hyökkäys ei juurikaan kiinalaisesta IP-osoitteesta

Etelä-Korean hyökkäys ei juurikaan kiinalaisesta IP-osoitteesta

Video: PURPLE IPHONE 11 UNBOXING 💜📦 (Marraskuu 2024)

Video: PURPLE IPHONE 11 UNBOXING 💜📦 (Marraskuu 2024)
Anonim

Näyttää siltä, ​​että äskettäiset etelä-korealaisia ​​pankkeja ja televisioverkkoja koskevat tietohyökkäykset eivät ole ehkä alkaneet Kiinasta, maan virkamiehet sanoivat perjantaina.

"Olimme huolimattomia pyrkimyksissämme tarkistaa ja kolminkertaistaa", Korean viestintäkomission virkamies Lee Seung-won kertoi perjantaina. "Me teemme nyt ilmoituksia vain, jos todisteemme ovat varmoja", Lee sanoi.

20. maaliskuuta Korean televisioasemat KBS, MBC ja YTN sekä pankkipalvelut Jeju, NongHyup ja Shinhan saastutettiin haittaohjelmalla, joka pyyhki datan kiintolevyiltä ja muutti järjestelmät toimimattomiksi. KCC oli aiemmin sanonut, että kiinalainen IP-osoite käytti päivityshallintapalvelinta NongHyup-pankissa jakaakseen "pyyhin" -haittaohjelmia, jotka poistivat tiedot arviolta 32 000 Windows-, Unix- ja Linux-järjestelmästä kaikissa kuudessa organisaatiossa.

Vaikuttaa siltä, ​​että KCC vääristi NongHyup-järjestelmän käyttämää yksityistä IP-osoitetta kiinalaisena IP-osoitteena, koska ne olivat "sattumalta" samat, Associated Press -raportin mukaan. Virkamiehet ovat tarttuneet järjestelmän kiintolevyyn, mutta tässä vaiheessa ei ole selvää, mistä tartunta on alkanut.

"Olemme edelleen jäljittämässä joitain epäilyttäviä IP-osoitteita, joiden epäillään perustuvan ulkomaille", Korean Internet- ja turvallisuusviraston varapuheenjohtaja Lee Jae-Il kertoi.

Nimeäminen on vaikeaa

Pian sen jälkeen, kun KCC väitti, että hyökkäys oli peräisin Kiinan IP-osoitteesta, Etelä-Korean virkamiehet syyttivät Pohjois-Koreaa tämän kampanjan takana. Etelä-Korea oli syyttänyt pohjoista naapuriaansa kiinalaisten IP-osoitteiden käyttämisestä Etelä-Korean hallituksen ja teollisuuden verkkosivustojen kohdistamiseen aiemmissa hyökkäyksissä.

Vain yksi IP-osoite ei kuitenkaan ole vakuuttava todiste, kun otetaan huomioon, että on paljon muita valtion tukemia ryhmiä ja tietoverkkorikollisia jengejä, jotka käyttävät kiinalaisia ​​palvelimia hyökkäysten käynnistämiseen. On myös paljon tekniikoita, joita hyökkääjät voivat käyttää piilottaakseen toimintansa tai saadakseen vaikuttamaan siltä, ​​että se tulee jostakin muualta.

Tämä KCC: n virhe, vaikka se on kiusallista Etelä-Korean hallitusta, korostaa täydellisesti, miksi on niin vaikea tunnistaa verkkohyökkäyksen alkuperät ja tekijät. Hyökkäysten myöntäminen voi olla "erittäin vaikeaa", sanoi Gartnerin tutkimusjohtaja Lawrence Pingree.

Haasteena on tosiasia, että "tiedustelupalvelua voidaan käyttää Internetissä, kuten lähde-IP: ien väärentämiseen, välityspalvelimien käyttämiseen, bottiverkkojen käyttämiseen hyökkäysten toimittamiseen muista sijainneista" ja muihin menetelmiin, Pingree sanoi. Haittaohjelmien kehittäjät voivat käyttää esimerkiksi eri kielten näppäimistökarttoja.

"Kiinalainen amerikkalainen tai eurooppalainen, joka ymmärtää kiinaa, mutta kehittää niiden hyväksikäyttöä alkuperämaahansa, johtaa ongelmallisiin tai mahdottomiin määrityksiin", sanoi Pingree.

Yksityiskohdat hyökkäyksestä

Hyökkäys näyttää käynnistyneen useilla hyökkäysvektoreilla, ja viranomaiset ovat käynnistäneet "monenvälisen" tutkimuksen "kaikkien mahdollisten tunkeutumisreittien" tunnistamiseksi ", sanotaan Etelä-Korean Yonhapin uutistoimiston raportissa. KCC: n Lee on hylännyt mahdollisuuden, että hyökkäys olisi peräisin Etelä-Koreasta, mutta kieltäytyi selvittämästä miksi.

Ainakin yksi vektori näyttää olevan keihäshuijauskampanja, joka sisälsi haittaohjelman pudottajan, Trend Micro-tutkijat havaitsivat. Jotkut Etelä-Korean organisaatiot saivat roskapostisanoman, joka sisälsi haitallisen liitetiedoston. Kun käyttäjät avasivat tiedoston, haittaohjelma latasi useista URL-osoitteista ylimääräisiä haittaohjelmia, kuten Windowsin pääkäynnistysrekisterin pyyhkimen ja verkkoon liitettyihin Unix- ja Linux-järjestelmiin kohdistuvat bash-skriptit.

Tutkijat ovat havainneet "logiikkapommin" Windows MBR -puhdistimessa, joka pitää haittaohjelmat "lepotilassa" 20. maaliskuuta kello 14.00 asti. Valittuun aikaan haittaohjelma aktivoi ja suoritti haittaohjelmansa. Pankkien ja televisioasemien raportit vahvistavat, että häiriöt alkoivat sinä päivänä klo 14.00.

Perjantaina Jeju ja Shinhan -pankit olivat palauttaneet verkkonsa, ja NongHyup oli edelleen käynnissä, mutta kaikki kolme olivat taas verkossa ja toimivat. Televisioasemat KBS, MBC ja YTN olivat palauttaneet vain kymmenen prosenttia järjestelmästään, ja täydellinen palautus voi viedä viikkoja. Asemien mukaan niiden lähetysominaisuuksiin ei kuitenkaan koskaan vaikuteta, KCC sanoi.

Etelä-Korean hyökkäys ei juurikaan kiinalaisesta IP-osoitteesta