Атака Южной Кореи не с китайского IP-адреса в конце концов

Похоже, что недавние кибератаки против южнокорейских банков и телеканалов, возможно, произошли не в Китае, сообщили официальные лица страны в пятницу.

«Мы были небрежны в наших попытках перепроверить и перепроверить», - заявил в пятницу журналистам официальный представитель Комиссии по коммуникациям Кореи Ли Сын Вон. «Теперь мы будем делать объявления только в том случае, если наши доказательства будут точными», - сказал Ли

20 марта корейские телевизионные станции KBS, MBC и YTN, а также банковские учреждения Jeju, NongHyup и Shinhan были заражены вредоносным ПО, которое стирало данные с жестких дисков, что приводило к неработоспособности систем. Ранее KCC ранее сообщал, что китайский IP-адрес получил доступ к серверу управления обновлениями в банке NongHyup для распространения вредоносного ПО, которое стерло данные из примерно 32 000 систем Windows, Unix и Linux в шести затронутых организациях.

Похоже, что KCC ошибочно принял частный IP-адрес, используемый системой NongHyup, в качестве китайского IP-адреса, потому что они были «совпадением» одинаковыми, согласно сообщению Associated Press. Чиновники захватили жесткий диск системы, но на данный момент не ясно, откуда возникла эта инфекция.

«Мы все еще отслеживаем некоторые сомнительные IP-адреса, которые предположительно базируются за границей», - заявил журналистам вице-президент Корейского агентства по Интернету и безопасности Ли Джа-Ил.

Атрибуция это сложно

Вскоре после того, как КСС заявил, что атака была совершена с IP-адреса в Китае, официальные лица Южной Кореи обвинили Северную Корею в поддержке этой кампании. Южная Корея обвинила своего северного соседа в использовании китайских IP-адресов для нацеливания на южнокорейские правительственные и промышленные веб-сайты во время предыдущих атак.

Однако только один IP-адрес не является убедительным доказательством, учитывая, что существует множество других спонсируемых государством групп и киберпреступников, использующих китайские серверы для запуска атак. Существует также множество методов, которые злоумышленники могут использовать, чтобы скрыть свою деятельность или создать впечатление, будто она исходит из какого-то другого места.

Эта ошибка КСС, хотя и смущает правительство Южной Кореи, прекрасно подчеркивает, почему так трудно определить причины и виновников кибератаки. Атрибуция атак может быть «чрезвычайно сложной», сказал Лоуренс Пингри, директор по исследованиям в Gartner.

Проблема заключается в том, что «контрразведка может использоваться в Интернете, например, для подмены исходных IP-адресов, использования прокси-серверов, использования бот-сетей для доставки атак из других мест» и другими методами, сказал Пингри. Например, разработчики вредоносных программ могут использовать карты клавиатуры разных языков.

«Китайский американец или европеец, который понимает китайский язык, но разрабатывает свои подвиги для своей страны происхождения, приведет к проблематичной или невозможной атрибуции», - сказал Пингри.

Подробности атаки

Похоже, что атака была начата с использованием нескольких векторов атаки, и власти начали «многостороннее» расследование для выявления «всех возможных путей проникновения», согласно сообщению южнокорейского агентства новостей Yonhap. Ли КСС не учел возможности нападения южнокорейского происхождения, но отказался объяснить, почему.

Исследователи Trend Micro обнаружили, что, по крайней мере, один из них является фишинговой кампанией, в которую входит вредоносная программа. Некоторые южнокорейские организации получили сообщение от банка спама с вредоносным вложенным файлом. Когда пользователи открывали файл, вредоносная программа загружала с нескольких URL-адресов дополнительные вредоносные программы, в том числе очиститель главной загрузочной записи Windows и сценарии bash, предназначенные для систем Unix и Linux, подключенных к сети.

Исследователи обнаружили «логическую бомбу» в очистителе Windows MBR, которая удерживала вредоносное ПО в «спящем» состоянии до 20 марта в 2 часа дня. В назначенное время вредоносная программа активировала и запустила свой вредоносный код. Сообщения из банков и телевизионных станций подтверждают, что срывы начались около 14:00 в тот же день.

По состоянию на пятницу банки Чеджу и Шинхан восстановили свои сети, и NongHyup все еще находился в процессе, но все три вернулись в рабочее состояние. Телеканалы KBS, MBC и YTN восстановили только 10 процентов своих систем, и полное восстановление может занять несколько недель. Тем не менее, станции сказали, что их возможности вещания никогда не были затронуты, сказал КСС