Відео: Dame Tu cosita ñ (Вересень 2024)
Схоже, останні кібератаки на південнокорейські банки та телевізійні мережі, можливо, не виникли в Китаї, заявили в п'ятницю представники цієї країни.
"Ми були недбалими у своїх зусиллях щодо повторної перевірки та потрійної перевірки", - заявив журналістам у п'ятницю корейський комітет з питань зв'язку Лі Сеун. "Зараз ми будемо робити оголошення лише в тому випадку, якщо наші докази будуть впевнені", - сказав Лі.
20 березня корейські телевізійні станції KBS, MBC та YTN, а також банківські установи Jeju, NongHyup та Shinhan були заражені шкідливим програмним забезпеченням, яке видаляло дані з жорстких дисків, видаляючи системи непрацездатними. Раніше KCC повідомляв, що китайська IP-адреса отримала доступ до сервера управління оновленнями в банку NongHyup для розповсюдження зловмисного програмного забезпечення "wiper", яке видалило дані з приблизно 32 000 систем Windows, Unix та Linux серед шести постраждалих організацій.
Схоже, KCC помилково прийняв приватну IP-адресу, яку використовувала система NongHyup як китайська IP-адреса, оскільки вони були "збігом випадків" однаковими, згідно з повідомленням Associated Press. Чиновники захопили жорсткий диск системи, але наразі не ясно, звідки заразилася інфекція.
"Ми все ще відслідковуємо деякі сумнівні IP-адреси, які підозрюються у своїй основі за кордоном", - заявив журналістам віце-президент Корейського агентства з Інтернету та Безпеки Лі Джі Іл.
Атрибуція складна
Незабаром після того, як KCC стверджує, що напад стався з IP-адреси в Китаї, південнокорейські чиновники звинуватили Північну Корею в тому, що стоїть за цією кампанією. Південна Корея звинуватила свого північного сусіда у використанні китайських IP-адрес для націлювання на веб-сайти уряду та промисловості Південної Кореї в попередніх актах.
Однак лише одна IP-адреса не є переконливим доказом, враховуючи, що існує чимало інших спонсорованих державою груп та кібер-злочинних банд, які використовують китайські сервери для запуску атак. Також є безліч прийомів, які зловмисники можуть використовувати, щоб приховати свою діяльність або зробити так, ніби вона приходить з якогось іншого місця.
Ця помилка KCC, при цьому бентежившись за південнокорейський уряд, прекрасно підкреслює, чому так важко визначити походження та винуватців кібератаки. Віднесення атак може бути "надзвичайно важким", - сказав Лоуренс Пінгрі, директор дослідження Gartner.
Проблема полягає в тому, що "контррозвідка може використовуватися в Інтернеті, наприклад, підробляючи IP-адреси джерел, використовуючи проксі-сервери, використовуючи ботнети для доставки атак з інших місць" та інші методи, зазначив Пінгрі. Наприклад, розробники зловмисних програм можуть використовувати карти клавіатур різних мов.
"Китайський американець або європеєць, який розуміє китайську мову, але розвиває свої подвиги для країни походження, призведе до проблемного або неможливого віднесення", - сказав Пінгрі.
Подробиці атаки
Здається, напад розпочали за допомогою декількох векторів нападу, а влада розпочала "багатостороннє" розслідування для виявлення "всіх можливих шляхів проникнення", йдеться у повідомленні Південнокорейського агентства новин Йонхапа. Лі ККС Лі відкинула можливість нападу південнокорейського походження, але відмовилася роз'яснити, чому.
Щонайменше один вектор представляється фішинг-кампанією, яка включала в себе крапельницю зловмисного програмного забезпечення, виявили дослідники Trend Micro. Деякі південнокорейські організації отримали повідомлення про спам-банк із зловмисним файлом. Коли користувачі відкрили файл, зловмисне програмне забезпечення завантажувало додаткові зловмисні програми, включаючи головний склоочисник завантажувального пристрою Windows та скрипти bash, орієнтовані на мережеві системи Unix та Linux, з декількох URL-адрес.
Дослідники визначили "логічну бомбу" в склоочисниках Windows MBR, яка зберігала зловмисне програмне забезпечення у стані "сну" до 20 березня о 14:00. У призначений час зловмисне програмне забезпечення активувало та виконувало свій шкідливий код. Звіти банків та телевізійних станцій підтверджують, що перебої почалися близько другої вечора того дня.
Станом на п’ятницю банки Джеджу та Сіньхана відновили свої мережі, і NongHyup все ще працював, але всі три знову повернулися до Інтернету та функціонували. Телевізійні станції KBS, MBC та YTN відновили лише 10 відсотків своїх систем, і повне відновлення може зайняти тижнів. Однак станції заявляють, що їхні можливості радіомовлення ніколи не впливали, повідомляє KCC.
