Video: El Chombo - Dame Tu Cosita feat. Cutty Ranks (Official Video) [Ultra Music] (September 2024)
Det verkar som om de senaste cyberattackerna mot sydkoreanska banker och TV-nätverk kanske inte har sitt ursprung i Kina, sade landets tjänstemän fredag.
"Vi var slarviga i våra ansträngningar för att dubbelkontrollera och trippelkontrollera", säger Lee Seung-won, koreanska kommunikationskommittén, till reportrar fredag. "Vi kommer nu att meddela endast om våra bevis är säkra, " sade Lee.
Den 20 mars infekterades de koreanska tv-stationerna KBS, MBC och YTN, samt bankinstitutionerna Jeju, NongHyup och Shinhan med en skadlig programvara som raderade data från hårddiskar, vilket gör att systemen inte kan fungera. KCC hade tidigare sagt att en kinesisk IP-adress öppnade uppdateringshanteringsservern i NongHyup-banken för att distribuera skadetypen "wiper", som raderade data från uppskattningsvis 32 000 Windows-, Unix- och Linux-system över de sex berörda organisationerna.
Det verkar som om KCC misstagit en privat IP-adress som använts av ett NongHyup-system som en kinesisk IP-adress eftersom de var "slumpmässigt" desamma, enligt Associated Press-rapporten. Tjänstemän har tagit grepp om systemets hårddisk, men det är inte tydligt vid vilken tidpunkt infektionen härstammar.
"Vi följer fortfarande några tvivelaktiga IP-adresser som misstänks vara baserade utomlands, " berättade Lee Jae-Il, vice ordförande för Korea Internet and Security Agency.
Attributionen är svår
Strax efter att KCC hävdade att attacken härstammar från en IP-adress i Kina anklagade sydkoreanska tjänstemän Nordkorea för att stå bakom denna kampanj. Sydkorea hade anklagat sin norra granne för att använda kinesiska IP-adresser för att rikta in Sydkoreas regering och industrins webbplatser i tidigare attacker.
Men bara en enda IP-adress är inte avgörande bevis, med tanke på att det finns många andra statligt sponsrade grupper och cyberkriminella gäng som använder kinesiska servrar för att starta attacker. Det finns också många tekniker som angripare kan använda för att dölja sina aktiviteter eller för att det verkar som om det kommer från någon annanstans.
Detta misstag av KCC, medan det är pinsamt för den sydkoreanska regeringen, belyser perfekt varför det är så svårt att identifiera ursprunget och förövarna för en cyberattack. Attribution av attacker kan vara "extremt svårt", säger Lawrence Pingree, forskningsdirektör på Gartner.
Utmaningen ligger i det faktum att "motintelligens kan användas på Internet, såsom att förfalska käll-IP: er, använda proxyservrar, använda botnät för att leverera attacker från andra platser, " och andra metoder, sade Pingree. Malware-utvecklarna kan till exempel använda tangentbordskartor med olika språk.
"En kinesamerikan eller europé som förstår kinesiska men utvecklar sina exploater för sitt ursprungsland kommer att leda till problematisk eller omöjlig tillskrivning, " sade Pingree.
Detaljer om attacken
Attacken verkar ha inletts med flera attackvektorer, och myndigheterna har inlett en "multilateral" utredning för att identifiera "alla möjliga infiltrationsvägar", enligt en rapport från Sydkoreas Yonhap News Agency. Lee i KCC har diskonterat möjligheten att attacken är av sydkoreanskt ursprung, men vägrade att utreda varför.
Åtminstone en vektor verkar vara en spjutfiskningskampanj som inkluderade en malware dropper, fann Trend Micro-forskare. Vissa sydkoreanska organisationer fick ett skräppostmeddelande med en skadlig filbilaga. När användare öppnade filen laddade skadlig programvara ner ytterligare skadlig programvara, inklusive en Windows-master-uppteckningswiskare och bash-skript som är inriktade på nätverksfixerade Unix- och Linux-system, från flera webbadresser.
Forskare har identifierat en "logikbombe" i Windows MBR-torkaren som höll skadlig programvara i ett "sömn" -läge fram till 20 mars kl 14. Vid den angivna tiden aktiverade och körde skadlig programvara dess skadliga kod. Rapporterna från bankerna och tv-stationerna bekräftar att störningarna började omkring 14.00 den dagen.
Från och med fredagen hade Jeju och Shinhan-bankerna återställt sina nätverk, och NongHyup pågår fortfarande, men alla tre var tillbaka online och funktionella. TV-stationerna KBS, MBC och YTN hade bara återställt 10 procent av sina system och full återhämtning kunde ta veckor. Men stationerna sa att deras sändningsmöjligheter aldrig påverkades, sade KCC.
