Video: How to Get a South Korean IP Address from Anywhere (Oktober 2024)
Det ser ut til at de nylige cyberangrepene mot sørkoreanske banker og TV-nettverk ikke kan ha sin opprinnelse i Kina, sa landets tjenestemenn fredag.
"Vi var uforsiktige i vår innsats for å dobbeltsjekke og tredoble-sjekk, " sa den koreanske kommunikasjonskommisjonens tjenestemann, Lee Seung-won, til reporterne fredag. "Vi vil nå gjøre kunngjøringer bare hvis bevisene våre er sikre, " sa Lee.
20. mars ble de koreanske TV-stasjonene KBS, MBC og YTN, så vel som bankinstitusjoner Jeju, NongHyup og Shinhan infisert med en skadelig programvare som utslettet data fra harddiskene, noe som gjorde systemene ubrukelige. KCC hadde tidligere sagt at en kinesisk IP-adresse fikk tilgang til oppdateringsadministrasjonsserveren i NongHyup-banken for å distribuere "wiper"-malware, som slettet data fra anslagsvis 32 000 Windows-, Unix- og Linux-systemer over de seks berørte organisasjonene.
Det ser ut til at KCC tok feil av en privat IP-adresse som ble brukt av et NongHyup-system som en kinesisk IP-adresse fordi de "tilfeldigvis" var den samme, ifølge Associated Press-rapporten. Tjenestemenn har lagt beslag på systemets harddisk, men det er ikke klart på dette tidspunktet hvor infeksjonen oppsto.
"Vi sporer fortsatt noen tvilsomme IP-adresser som er mistenkt for å ha base i utlandet, " sa Lee Jae-Il, visepresident for Korea Internet and Security Agency, til journalister.
Attribusjon er vanskelig
Rett etter at KCC hevdet angrepet stammet fra en IP-adresse i Kina, anklaget sørkoreanske myndigheter Nord-Korea for å stå bak denne kampanjen. Sør-Korea hadde beskyldt sin nordlige nabo for å bruke kinesiske IP-adresser for å målrette Sør-Korea myndigheter og industri nettsteder i tidligere angrep.
Imidlertid er bare en enkelt IP-adresse ikke avgjørende bevis, med tanke på at det er mange andre statlige sponsede grupper og cyberkriminelle gjenger som bruker kinesiske servere for å starte angrep. Det er også mange teknikker angripere kan bruke for å skjule sine aktiviteter eller få det til å virke som om det kommer fra et annet sted.
Denne feilen fra KCC, mens den er pinlig for den sørkoreanske regjeringen, fremhever perfekt hvorfor det er så vanskelig å identifisere opprinnelsen og gjerningsmennene til et cyberangrep. Attribusjon av angrep kan være "ekstremt vanskelig, " sa Lawrence Pingree, forskningsdirektør i Gartner.
Utfordringen ligger i det faktum at "mot-intelligens kan brukes på Internett, for eksempel forfalskning av IP-kilder, bruk av proxy-servere, bruk av botnett for å levere angrep fra andre steder, " og andre metoder, sa Pingree. Malware-utviklerne kan for eksempel bruke tastaturkart over forskjellige språk.
"En kinesisk amerikansk eller europeisk som forstår kinesisk, men som utvikler sine utnyttelser for sitt opprinnelsesland, vil føre til problematisk eller umulig attribusjon, " sa Pingree.
Detaljer om angrepet
Angrepet ser ut til å ha blitt lansert ved bruk av flere angrepsvektorer, og myndighetene har satt i gang en "multilateral" etterforskning for å identifisere "alle mulige infiltrasjonsveier, " ifølge en rapport fra Sør-Koreas Yonhap News Agency. Lee i KCC har nedsatt muligheten for at angrepet er av sørkoreansk opprinnelse, men takket nei til å utdype hvorfor.
Minst en vektor ser ut til å være en spyd phishing-kampanje som inkluderte en malware-dropper, fant Trend Micro-forskere. Noen sørkoreanske organisasjoner mottok en spam-bankmelding med en ondsinnet filvedlegg. Når brukere åpnet filen, lastet malware ned ytterligere skadelig programvare, inkludert en Windows master boot record wiper og bash-skript som er målrettet mot nettverkstilknyttede Unix- og Linux-systemer, fra flere nettadresser.
Forskere har identifisert en "logikkbombe" i Windows MBR-vindusviskeren som holdt skadelig programvare i en "søvn" -tilstand til 20. mars klokka 14.00. På det angitte tidspunktet, aktiverte og utførte skadelig programvare sin ondsinnede kode. Rapportene fra bankene og TV-stasjonene bekrefter at forstyrrelsene begynte rundt klokken 14 den dagen.
Fra og med fredag hadde Jeju og Shinhan-bankene restaurert nettverkene sine, og NongHyup var fremdeles i gang, men alle tre var tilbake online og funksjonelle. TV-stasjonene KBS, MBC og YTN hadde kun restaurert 10 prosent av systemene sine, og full gjenoppretting kan ta flere uker. Stasjonene sa imidlertid at deres kringkastingsevne aldri ble påvirket, sa KCC.
