Video: Snacks fra Korea (Oktober 2024)
Det ser ud til, at de nylige cyberangreb mod sydkoreanske banker og tv-netværk muligvis ikke har oprindelse i Kina, sagde landets embedsmænd fredag.
"Vi var skødesløse i vores bestræbelser på at dobbeltkontrol og tredobbeltcheck, " fortalte den koreanske kommunikationskommissær Lee Seung-won til journalister fredag. ”Vi vil nu kun offentliggøre meddelelser, hvis vores bevis er sikre, ” sagde Lee.
Den 20. marts blev de koreanske tv-stationer KBS, MBC og YTN samt bankinstitutionerne Jeju, NongHyup og Shinhan inficeret med en malware, der udslettede data fra harddiske, hvilket gjorde systemerne ude af drift. KCC havde tidligere sagt, at en kinesisk IP-adresse fik adgang til opdateringsadministrationsserveren i NongHyup-banken for at distribuere malware "wiper", der slettede data fra anslået 32.000 Windows-, Unix- og Linux-systemer på tværs af de seks berørte organisationer.
Det ser ud til, at KCC tog fejl af en privat IP-adresse, der blev brugt af et NongHyup-system som en kinesisk IP-adresse, fordi de "var tilfældigt" de samme, ifølge Associated Press-rapporten. Tjenestemænd har beslaglagt systemets harddisk, men det er ikke klart på dette tidspunkt, hvor infektionen stammede.
”Vi sporer stadig nogle tvivlsomme IP-adresser, der mistænkes for at være hjemmehørende i udlandet, ” sagde Lee Jae-Il, vicepræsident for Korea Internet and Security Agency, til journalister.
Attribution er vanskelig
Kort efter KCC hævdede angrebet stammede fra en IP-adresse i Kina, anklagede sydkoreanske embedsmænd Nordkorea for at stå bag denne kampagne. Sydkorea havde beskyldt sin nordlige nabo for at bruge kinesiske IP-adresser til at målrette sydkoreanske regerings- og industriens websteder i tidligere angreb.
Imidlertid er kun en enkelt IP-adresse ikke afgørende bevis, i betragtning af at der er masser af andre statsstøttede grupper og cyberkriminelle bander, der bruger kinesiske servere til at starte angreb. Der er også masser af teknikker, som angribere kan bruge til at skjule deres aktiviteter eller få det til at virke som om det kommer fra et andet sted.
Denne fejltagelse fra KCC, mens den er pinlig for den sydkoreanske regering, fremhæver perfekt, hvorfor det er så svært at identificere oprindelsen og gerningsmændene til et cyberangreb. Attribution af angreb kan være "ekstremt vanskelig", sagde Lawrence Pingree, en forskningsdirektør i Gartner.
Udfordringen ligger i det faktum, at "counter-intelligence kan bruges på Internettet, såsom forfalskning af kilde-IP'er, brug af proxyservere, brug af botnets til at levere angreb fra andre placeringer, " og andre metoder, sagde Pingree. Malware-udviklere kan f.eks. Bruge tastaturkort over forskellige sprog.
"En kinesisk amerikaner eller europæer, der forstår kinesisk, men udvikler deres udnyttelser til deres oprindelsesland, vil resultere i problematisk eller umulig tilskrivning, " sagde Pingree.
Detaljer om angrebet
Det ser ud til, at angrebet er blevet lanceret ved hjælp af flere angrebsvektorer, og myndighederne har iværksat en "multilateral" undersøgelse for at identificere "alle mulige infiltrationsruter", ifølge en rapport fra Sydkoreas Yonhap News Agency. KCCs Lee har diskonteret muligheden for, at angrebet er af sydkoreansk oprindelse, men afviste at uddybe hvorfor.
Mindst en vektor ser ud til at være en spyd phishing-kampagne, der inkluderede en malware-dropper, fandt Trend Micro-forskere. Nogle sydkoreanske organisationer modtog en spam-bankmeddelelse med en ondsindet vedhæftet fil. Da brugerne åbnede filen, downloadede malware malware-malware, inklusive en Windows-masteropstarts-visker og bash-scripts, der er målrettet mod netværksfastgjort Unix- og Linux-systemer, fra flere webadresser.
Forskere har identificeret en "logikbombe" i Windows MBR-visker, der holdt malware i en "sleep" -tilstand indtil 20. marts kl. 14:00. På det aftalte tidspunkt aktiverede og udførte malware dens ondsindede kode. Rapporterne fra bankerne og tv-stationerne bekræfter, at forstyrrelserne begyndte omkring 14:00 den dag.
Fra fredag havde Jeju- og Shinhan-bankerne gendannet deres netværk, og NongHyup var stadig i gang, men alle tre var tilbage online og funktionelle. TV-stationerne KBS, MBC og YTN havde kun gendannet 10 procent af deres systemer, og fuld gendannelse kunne tage uger. Men stationerne sagde, at deres udsendelsesfunktioner aldrig blev påvirket, sagde KCC.
