Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноември 2024)
Изглежда, че последните кибератаки срещу южнокорейските банки и телевизионни мрежи може да не са възникнали в Китай, заявиха в петък представители на страната.
"Бяхме небрежни в усилията си да проверим двойно и тройно", заяви в репортер в петък служителят на Корейската комисия за комуникации Ли Сеунг. "Сега ще правим съобщения само ако нашите доказателства са сигурни", каза Лий.
На 20 март корейските телевизионни станции KBS, MBC и YTN, както и банковите институции Jeju, NongHyup и Shinhan бяха заразени със злонамерен софтуер, който изтриваше данни от твърди дискове, което прави системата неработеща. Преди това KCC заяви, че китайски IP адрес е получил достъп до сървъра за управление на актуализациите в банка NongHyup за разпространение на зловреден софтуер за "чистачки", който е изтрил данни от приблизително 32 000 системи Windows, Unix и Linux в шестте засегнати организации.
Изглежда KCC неправилно е взел частен IP адрес, използван от NongHyup като китайски IP адрес, тъй като те са били „случайно“ еднакви, според доклада на Associated Press. Длъжностните лица са иззели твърдия диск на системата, но в момента не е ясно откъде е възникнала инфекцията.
"Все още проследяваме някои съмнителни IP адреси, за които се подозира, че са базирани в чужбина", заяви пред репортери Lee Jae-Il, вицепрезидент на Корейската агенция за интернет и сигурност.
Приписването е трудно
Малко след като KCC твърди, че атаката произхожда от IP адрес в Китай, южнокорейските представители обвиниха Северна Корея, че стои зад тази кампания. Южна Корея обвини северната си съседка, че използва китайски IP адреси, за да се насочи към уебсайтове на правителството и индустрията на Южна Корея при предишни атаки.
Само че един-единствен IP адрес не е убедително доказателство, тъй като има много други групи, спонсорирани от държавата и киберпрестъпни банди, използващи китайски сървъри за стартиране на атаки. Също така има много техники, които нападателите могат да използват, за да скрият дейностите си или да изглеждат така, сякаш идва от друго място.
Тази грешка от KCC, макар да е смущаваща за правителството на Южна Корея, подчертава отлично защо е толкова трудно да се идентифицират произхода и извършителите на кибератака. Приписването на атаки може да бъде "изключително трудно", заяви Лорънс Пингри, директор на научните изследвания в Gartner.
Предизвикателството се крие във факта, че "контраразузнаването може да се използва в Интернет, като подправяне на IP-адреси на източници, използване на прокси сървъри, използване на ботнети за доставка на атаки от други места" и други методи, каза Pingree. Разработчиците на зловреден софтуер могат да използват например клавиатурни карти на различни езици.
"Китайски американец или европеец, който разбира китайски, но развива своите подвизи за страната си на произход, ще доведе до проблемно или невъзможно приписване", каза Пингри.
Подробности за атаката
Изглежда, че атаката е била извършена с помощта на множество вектори за атака, а властите са започнали "многостранно" разследване, за да идентифицират "всички възможни пътища за инфилтрация", според доклад на южнокорейската агенция Yonhap News. Лий на KCC отхвърли възможността атаката да е от южнокорейски произход, но отказа да уточни защо.
Най-малко един вектор изглежда като фишинг кампания, включваща капкомер за злонамерен софтуер, установиха изследователи от Trend Micro. Някои южнокорейски организации получиха съобщение за нежелана поща с прикачен файл. Когато потребителите отвориха файла, злонамереният софтуер изтегли допълнителен зловреден софтуер, включително главен чистач на записи за Windows и скриптове за bash, насочени към мрежово свързани Unix и Linux системи, от множество URL адреси.
Изследователите идентифицираха "логическа бомба" в чистачката на Windows MBR, която поддържаше зловредния софтуер в състояние "сън" до 20 март в 14:00. В определеното време зловредният софтуер активира и изпълни своя злонамерен код. Докладите от банките и телевизиите потвърждават, че сътресенията са започнали около 14:00 този ден.
Към петък банките Джеджу и Шинхан бяха възстановили мрежите си и NongHyup все още беше в ход, но и трите бяха отново онлайн и функционираха. Телевизионните станции KBS, MBC и YTN бяха възстановили едва 10 процента от своите системи и пълното им възстановяване може да отнеме седмици. Въпреки това станциите заявиха, че възможностите им за излъчване никога не са били повлияни, каза KCC.