بيت Securitywatch هجوم كوريا الجنوبية ليس من عنوان IP الصيني بعد كل شيء

هجوم كوريا الجنوبية ليس من عنوان IP الصيني بعد كل شيء

فيديو: بنتنا يا بنتنا (شهر نوفمبر 2024)

فيديو: بنتنا يا بنتنا (شهر نوفمبر 2024)
Anonim

يبدو أن الهجمات الإلكترونية الأخيرة على البنوك وشبكات التليفزيون الكورية الجنوبية لم تكن قد نشأت في الصين.

وقال لي سونج وون المسؤول في لجنة الاتصالات الكورية للصحفيين يوم الجمعة "لقد أهملنا في جهودنا لفحص مزدوج وفحص ثلاثي". وقال لي "سنصدر الآن إعلانات فقط إذا كانت أدلةنا مؤكدة."

في 20 مارس ، أصيبت محطات التلفزة الكورية KBS و MBC و YTN ، بالإضافة إلى المؤسسات المصرفية Jeju و NongHyup و Shinhan ببرمجيات خبيثة ألغت البيانات من محركات الأقراص الصلبة ، مما أدى إلى توقف الأنظمة عن العمل. كانت KCC قد ذكرت سابقًا أن عنوان IP الصيني قد وصل إلى خادم إدارة التحديث في بنك NongHyup لتوزيع البرمجيات الخبيثة "wiper" ، التي تمحو البيانات من حوالي 32000 من أنظمة Windows و Unix و Linux عبر المؤسسات الست المتأثرة.

يبدو أن KCC أخطأ في فهم عنوان IP خاص يستخدمه نظام NongHyup كعنوان IP صيني لأنه "مصادفة" هو نفسه ، وفقًا لتقرير Associated Press. استولى المسؤولون على القرص الصلب للنظام ، ولكن ليس من الواضح في هذه المرحلة من أين نشأت العدوى.

وقال لي جاي إيل نائب رئيس وكالة الإنترنت والأمن الكورية للصحفيين "ما زلنا نتتبع بعض عناوين بروتوكول الإنترنت المشكوك في صحتها والتي يشتبه في أنها تتمركز في الخارج."

الإسناد صعب

بعد وقت قصير من إعلان KCC أن الهجوم نشأ من عنوان IP في الصين ، اتهم المسؤولون الكوريون الجنوبيون كوريا الشمالية بالوقوف وراء هذه الحملة. اتهمت كوريا الجنوبية جارتها الشمالية باستخدام عناوين IP الصينية لاستهداف مواقع الحكومة والصناعة الكورية الجنوبية على شبكة الإنترنت في الهجمات السابقة.

ومع ذلك ، فإن مجرد عنوان IP واحد ليس دليلًا قاطعًا ، بالنظر إلى أن هناك الكثير من المجموعات الأخرى التي ترعاها الدولة والعصابات الإجرامية الإلكترونية التي تستخدم الخوادم الصينية لشن هجمات. هناك أيضًا الكثير من التقنيات التي يمكن للمهاجمين استخدامها لإخفاء أنشطتهم أو جعلها تبدو أنها تأتي من مكان آخر.

هذا الخطأ الذي ارتكبته شركة KCC ، في حين أنه محرج بالنسبة لحكومة كوريا الجنوبية ، يبرز تمامًا السبب في أنه من الصعب للغاية تحديد أصل مرتكبي الهجوم السيبراني. وقال لورانس بينجري ، مدير الأبحاث في غارتنر: "يمكن أن تكون نسب الهجمات" صعبة للغاية ".

وقال بينجري إن التحدي يكمن في حقيقة أن "الاستخبارات المضادة يمكن استخدامها على الإنترنت مثل خداع عناوين IP المصدر ، واستخدام خوادم بروكسي ، واستخدام الروبوتات لشن هجمات من مواقع أخرى" ، وطرق أخرى. يمكن لمطوري البرامج الضارة استخدام خرائط لوحة المفاتيح للغات المختلفة ، على سبيل المثال.

وقال بينجري "إن صيني صيني أو أوروبي يفهم اللغة الصينية لكنه يطور مآثره لبلدهم الأصلي سيؤدي إلى إسناد إشكالي أو مستحيل".

تفاصيل الهجوم

يبدو أن الهجوم قد تم باستخدام ناقلات هجوم متعددة ، وبدأت السلطات تحقيقًا "متعدد الأطراف" لتحديد "جميع طرق التسلل الممكنة" ، وفقًا لتقرير صادر عن وكالة يونهاب الكورية الجنوبية للأنباء. استبعد Lee's KCC من احتمال أن يكون الهجوم من أصل كوري جنوبي ، لكنه رفض توضيح السبب.

وجد باحثون في تريند مايكرو أن هناك متجهًا واحدًا على الأقل يبدو أنه حملة تصيد رمح تضمنت قطارة برامج ضارة. تلقت بعض المنظمات الكورية الجنوبية رسالة مصرفية غير مرغوب فيها مع ملف مرفق ضار. عندما فتح المستخدمون الملف ، نزّل البرنامج الضار برامج ضارة إضافية ، بما في ذلك ممسحة سجل التشغيل الرئيسي لنظام التشغيل Windows والبرامج النصية للباش التي تستهدف أنظمة Unix و Linux المتصلة بشبكة ، من عناوين URL متعددة.

حدد الباحثون "قنبلة منطقية" في ممسحة Windows MBR والتي أبقت البرامج الضارة في حالة "سكون" حتى 20 مارس في الساعة 2 مساءً. في الوقت المحدد ، قامت البرامج الضارة بتنشيط وتنفيذ التعليمات البرمجية الضارة. تؤكد التقارير الواردة من البنوك والمحطات التلفزيونية أن الاضطرابات بدأت في حوالي الساعة الثانية بعد الظهر في ذلك اليوم.

واعتبارًا من يوم الجمعة ، استعادت بنوك جيجو وشينهان شبكاتها ، وكان NongHyup لا يزال قيد التقدم ، لكن الثلاثة عاودوا الاتصال بالإنترنت وعملهم. استعادت محطات التلفزيون KBS و MBC و YTN 10 في المائة فقط من أنظمتها ويمكن أن يستغرق التعافي الكامل أسابيع. ومع ذلك ، قالت المحطات إن قدراتها الإذاعية لم تتأثر أبدًا.

هجوم كوريا الجنوبية ليس من عنوان IP الصيني بعد كل شيء