Video: Ciber ataque a Corea del Sur vino de Corea del Norte (Noviembre 2024)
Parece que los recientes ataques cibernéticos contra bancos y redes de televisión de Corea del Sur pueden no haberse originado en China, dijeron el viernes funcionarios del país.
"Fuimos descuidados en nuestros esfuerzos de doble verificación y triple verificación", dijo el viernes a periodistas el funcionario de la Comisión de Comunicaciones de Corea, Lee Seung-won. "Ahora haremos anuncios solo si nuestra evidencia es cierta", dijo Lee.
El 20 de marzo, las estaciones de televisión coreana KBS, MBC e YTN, así como las instituciones bancarias Jeju, NongHyup y Shinhan, fueron infectadas con un malware que borró los datos de los discos duros, dejando inoperables los sistemas. El KCC había dicho previamente que una dirección IP china accedía al servidor de administración de actualizaciones en el banco NongHyup para distribuir el malware "wiper", que borraba datos de aproximadamente 32, 000 sistemas Windows, Unix y Linux en las seis organizaciones afectadas.
Parece que KCC confundió una dirección IP privada utilizada por un sistema NongHyup como una dirección IP china porque eran "coincidentes" lo mismo, según el informe de Associated Press. Las autoridades han incautado el disco duro del sistema, pero en este momento no está claro dónde se originó la infección.
"Todavía estamos rastreando algunas direcciones IP dudosas que se sospecha que se encuentran en el extranjero", dijo a periodistas Lee Jae-Il, vicepresidente de la Agencia de Internet y Seguridad de Corea.
La atribución es difícil
Poco después de que KCC afirmó que el ataque se originó en una dirección IP en China, los funcionarios surcoreanos acusaron a Corea del Norte de estar detrás de esta campaña. Corea del Sur había acusado a su vecino del norte de usar direcciones IP chinas para atacar sitios web del gobierno y la industria de Corea del Sur en ataques anteriores.
Sin embargo, una sola dirección IP no es una prueba concluyente, teniendo en cuenta que hay muchos otros grupos patrocinados por el estado y bandas de delincuentes cibernéticos que utilizan servidores chinos para lanzar ataques. También hay muchas técnicas que los atacantes pueden usar para ocultar sus actividades o hacer que parezca que viene de otro lugar.
Este error de KCC, aunque es vergonzoso para el gobierno de Corea del Sur, destaca perfectamente por qué es tan difícil identificar los orígenes y los autores de un ciberataque. La atribución de los ataques puede ser "extremadamente difícil", dijo Lawrence Pingree, director de investigación de Gartner.
El desafío radica en el hecho de que "la contrainteligencia se puede usar en Internet, como falsificar IP de origen, usar servidores proxy, usar botnets para lanzar ataques desde otras ubicaciones" y otros métodos, dijo Pingree. Los desarrolladores de malware pueden usar mapas de teclado de diferentes idiomas, por ejemplo.
"Un chino estadounidense o europeo que entiende chino pero desarrolla sus hazañas para su país de origen dará como resultado una atribución problemática o imposible", dijo Pingree.
Detalles del ataque
El ataque parece haber sido lanzado usando múltiples vectores de ataque, y las autoridades han lanzado una investigación "multilateral" para identificar "todas las posibles rutas de infiltración", según un informe de la Agencia de Noticias Yonhap de Corea del Sur. Lee de KCC ha descartado la posibilidad de que el ataque sea de origen surcoreano, pero se negó a explicar por qué.
Los investigadores de Trend Micro encontraron que al menos un vector parece ser una campaña de phishing de lanza que incluía un cuentagotas de malware. Algunas organizaciones de Corea del Sur recibieron un mensaje de correo no deseado con un archivo adjunto malicioso. Cuando los usuarios abrieron el archivo, el malware descargó malware adicional, incluido un limpiador de registro de arranque maestro de Windows y scripts de bash dirigidos a sistemas Unix y Linux conectados en red, desde múltiples URL.
Los investigadores han identificado una "bomba lógica" en el limpiador de Windows MBR que mantuvo el malware en un estado de "suspensión" hasta el 20 de marzo a las 2pm. A la hora señalada, el malware activó y ejecutó su código malicioso. Los informes de los bancos y las estaciones de televisión confirman que las interrupciones comenzaron alrededor de las 2 de la tarde de ese día.
Hasta el viernes, los bancos de Jeju y Shinhan habían restaurado sus redes, y NongHyup todavía estaba en progreso, pero los tres estaban de nuevo en línea y en funcionamiento. Las estaciones de televisión KBS, MBC e YTN habían restaurado solo el 10 por ciento de sus sistemas y la recuperación completa podría llevar semanas. Sin embargo, las estaciones dijeron que sus capacidades de transmisión nunca se vieron afectadas, dijo KCC.
