Video: President Moon Jae-in speaks to N. Korean audience of 150,000 (Nobyembre 2024)
Lumilitaw na ang kamakailang pag-atake ng cyber laban sa mga South Korea bank at telebisyon ay maaaring hindi nagmula sa China, sinabi ng mga opisyal ng bansa noong Biyernes.
"Kami ay walang pag-iingat sa aming mga pagsisikap na mag-double-check at triple-check, " sinabi ng opisyal ng Korean Communications Commission na si Lee Seung-win sa mga mamamahayag noong Biyernes. "Gumagawa kami ngayon ng mga anunsyo kung tiyak ang aming katibayan, " sabi ni Lee.
Noong Marso 20, ang mga istasyon ng telebisyon sa Korea KBS, MBC, at YTN, pati na rin ang mga institusyon sa pagbabangko na sina Jeju, NongHyup, at Shinhan ay nahawahan ng isang malware na nagwasak ng mga data sa mga hard drive, na nag-render sa mga system na hindi naaangkop. Nauna nang sinabi ng KCC na ang isang Intsik na IP address ay naka-access sa server ng pag-update sa pag-update sa bangko ng NongHyup upang ipamahagi ang "wiper" malware, na tinanggal ang data mula sa tinantyang 32, 000 Windows, Unix, at Linux system sa buong anim na apektadong mga samahan.
Lumilitaw na nagkamali si KCC ng isang pribadong IP address na ginagamit ng isang NongHyup system bilang isang Chinese IP address dahil sila ay "sinasadya" pareho, ayon sa ulat ng Associated Press. Sinamsam ng mga opisyal ang hard drive ng system, ngunit hindi malinaw sa puntong ito kung saan nagmula ang impeksyon.
"Sinusubaybayan pa rin namin ang ilang mga nakasisindak na IP address na pinaghihinalaang nakabase sa ibang bansa, " sinabi ni Lee Jae-Il, bise-presidente ng Korea Internet and Security Agency.
Mahirap ang Atribusyon
Ilang sandali matapos na inaangkin ng KCC na ang pag-atake ay nagmula sa isang IP address sa China, inakusahan ng mga opisyal ng South Korea ang Hilagang Korea na nasa likod ng kampanyang ito. Inakusahan ng South Korea ang hilagang kapitbahay nito ng paggamit ng mga IP address ng IP upang i-target ang gobyerno ng South Korea at mga web site sa mga nakaraang pag-atake.
Gayunpaman, ang isang solong IP address ay hindi patunay na patunay, isinasaalang-alang na maraming iba pang mga grupo na naka-sponsor ng estado at mga cyber-criminal gang na gumagamit ng mga server ng Tsino upang ilunsad ang mga pag-atake. Mayroon ding maraming mga pamamaraan na maaaring gamitin ng mga umaatake upang itago ang kanilang mga gawain o gawin itong tila nagmumula sa ibang lugar.
Ang pagkakamaling ito ng KCC, habang nakakahiya para sa pamahalaang Timog Korea, ay perpektong nagtatampok kung bakit napakahirap makilala ang mga pinagmulan at mga nagawa ng isang cyber-atake. Ang pag-atake ng mga pag-atake ay maaaring "lubhang mahirap, " sabi ni Lawrence Pingree, isang direktor ng pananaliksik sa Gartner.
Ang hamon ay namamalagi sa katotohanan na "ang counter-intelligence ay maaaring magamit sa Internet tulad ng mga spoofing source IP, gamit ang mga proxy server, gamit ang mga botnet upang maihatid ang mga pag-atake sa labas ng iba pang mga lokasyon, " at iba pang mga pamamaraan, sinabi ni Pingree. Ang mga developer ng malware ay maaaring gumamit ng mga mapa ng keyboard ng mga magkakaibang wika, halimbawa.
"Ang isang Amerikanong Amerikano o European na nauunawaan ang Tsino ngunit bubuo ang kanilang mga pagsasamantala para sa kanilang bansa na pinagmulan ay magreresulta sa may problema o imposible na pagpapahalaga, " sabi ni Pingree.
Mga Detalye ng Pag-atake
Ang pag-atake ay lilitaw na inilunsad gamit ang maramihang mga vector ng pag-atake, at inilunsad ng mga awtoridad ang isang "multilateral" na pagsisiyasat upang makilala ang "lahat ng posibleng mga ruta ng paglusot, " ayon sa isang ulat mula sa Yonhap News Agency ng South Korea. Ang KCC's Lee ay may diskwento sa posibilidad ng pag-atake na nagmula sa Timog Korea, ngunit tumanggi na ipaliwanag kung bakit.
Hindi bababa sa isang vector ang lumilitaw na isang kampanya sa phishing na kasama sa isang dropper ng malware, natagpuan ng mga mananaliksik ng Trend Micro. Ang ilang mga organisasyong South Korea ay nakatanggap ng isang mensahe sa bank bank na may isang nakakahamak na attachment ng file. Kapag binuksan ng mga gumagamit ang file, ang malware ay nag-download ng karagdagang malware, kasama ang isang Windows master boot record wiper at bash script na nagta-target sa network na naka-kalakip na Unix at Linux system, mula sa maraming mga URL.
Kinilala ng mga mananaliksik ang isang "logic bomba" sa Windows MBR wiper na pinanatili ang malware sa isang "tulog" na estado hanggang Marso 20 at 2pm. Sa itinakdang oras, na-aktibo at tinupad ng malware ang malisyosong code. Ang mga ulat mula sa mga bangko at istasyon ng telebisyon ay nagpapatunay na ang mga pagkagambala ay nagsimula sa paligid ng 2:00 sa araw na iyon.
Tulad ng Biyernes, ang mga bangko ng Jeju at Shinhan ay naibalik ang kanilang mga network, at ang NongHyup ay patuloy pa rin, ngunit ang lahat ng tatlo ay bumalik sa online at pagganap. Ang mga istasyon ng TV KBS, MBC, at YTN ay naibalik 10 porsyento lamang ng kanilang mga system at buong paggaling ay maaaring tumagal ng ilang linggo. Gayunpaman, sinabi ng mga istasyon ang kanilang mga kakayahan sa broadcast ay hindi naapektuhan, sinabi ni KCC.
