Video: How to Get a Chinese IP Address from Anywhere (November 2024)
Het lijkt erop dat de recente cyberaanvallen op Zuid-Koreaanse banken en televisienetwerken misschien niet uit China zijn voortgekomen, zeiden de ambtenaren van het land vrijdag.
"We waren onzorgvuldig in onze inspanningen om dubbel te controleren en drievoudig te controleren, " vertelde Lee Communications-functionaris van de Koreaanse communicatiecommissie vrijdag aan verslaggevers. "We zullen nu alleen aankondigingen doen als ons bewijs zeker is, " zei Lee.
Op 20 maart werden Koreaanse televisiestations KBS, MBC en YTN, evenals bankinstellingen Jeju, NongHyup en Shinhan besmet met malware die gegevens van harde schijven wist, waardoor de systemen onbruikbaar werden. Het KCC had eerder gezegd dat een Chinees IP-adres toegang had tot de update-beheerserver van de NongHyup-bank om de "wisbare" malware te verspreiden, die gegevens van naar schatting 32.000 Windows-, Unix- en Linux-systemen wist over de zes getroffen organisaties.
Het lijkt erop dat KCC een privé-IP-adres dat door een NongHyup-systeem wordt gebruikt, heeft aangezien als een Chinees IP-adres omdat ze "toevallig" hetzelfde waren, volgens het rapport van Associated Press. Ambtenaren hebben de harde schijf van het systeem in beslag genomen, maar het is op dit moment niet duidelijk waar de infectie is ontstaan.
"We volgen nog steeds enkele dubieuze IP-adressen waarvan wordt vermoed dat ze in het buitenland zijn gevestigd, " vertelde Lee Jae-Il, vice-president van Korea Internet and Security Agency, aan verslaggevers.
Toeschrijving is moeilijk
Kort nadat KCC beweerde dat de aanval afkomstig was van een IP-adres in China, beschuldigden Zuid-Koreaanse functionarissen Noord-Korea ervan achter deze campagne te zitten. Zuid-Korea had zijn noordelijke buurman beschuldigd van het gebruik van Chinese IP-adressen om zich bij eerdere aanvallen te richten op Zuid-Koreaanse websites van de overheid en de industrie.
Slechts één IP-adres is echter geen sluitend bewijs, aangezien er tal van andere door de staat gesponsorde groepen en cybercriminele bendes zijn die Chinese servers gebruiken om aanvallen uit te voeren. Er zijn ook tal van technieken die aanvallers kunnen gebruiken om hun activiteiten te verbergen of het te laten lijken alsof het ergens anders vandaan komt.
Deze fout van KCC, hoewel beschamend voor de Zuid-Koreaanse regering, benadrukt perfect waarom het zo moeilijk is om de oorsprong en daders van een cyberaanval te achterhalen. Toeschrijving van aanvallen kan 'extreem moeilijk' zijn, zei Lawrence Pingree, onderzoeksdirecteur bij Gartner.
De uitdaging ligt in het feit dat "contra-intelligentie op internet kan worden gebruikt, zoals het spoofen van bron-IP's, het gebruik van proxyservers, het gebruik van botnets om aanvallen vanuit andere locaties af te leveren, " en andere methoden, zei Pingree. De malware-ontwikkelaars kunnen bijvoorbeeld toetsenbordkaarten van verschillende talen gebruiken.
"Een Chinees-Amerikaan of Europeaan die Chinees begrijpt, maar zijn exploits ontwikkelt voor zijn land van herkomst, zal leiden tot problematische of onmogelijke toeschrijving", aldus Pingree.
Details van de aanval
De aanval lijkt te zijn gelanceerd met behulp van meerdere aanvalsvectoren en autoriteiten hebben een "multilateraal" onderzoek gestart om "alle mogelijke infiltratieroutes" te identificeren, volgens een rapport van Yonhap News Agency in Zuid-Korea. Lee van KCC heeft de mogelijkheid van de aanval van Zuid-Koreaanse afkomst verdisconteerd, maar weigerde uit te leggen waarom.
Ten minste één vector lijkt een spear phishing-campagne te zijn met een malware-dropper, vonden onderzoekers van Trend Micro. Sommige Zuid-Koreaanse organisaties ontvingen een spambankbericht met een kwaadaardig bestand als bijlage. Toen gebruikers het bestand openden, downloadde de malware aanvullende malware, waaronder een Windows master boot record-wisser en bash-scripts gericht op netwerk-verbonden Unix- en Linux-systemen, van meerdere URL's.
Onderzoekers hebben een "logische bom" in de Windows MBR-ruitenwisser geïdentificeerd die de malware in een "slaapstand" hield tot 20 maart om 14.00 uur. Op het afgesproken tijdstip heeft de malware zijn schadelijke code geactiveerd en uitgevoerd. De rapporten van de banken en televisiestations bevestigen dat de verstoringen die dag rond 14.00 uur begonnen.
Vanaf vrijdag hadden de banken van Jeju en Shinhan hun netwerken hersteld en was NongHyup nog steeds bezig, maar alle drie waren weer online en functioneel. De tv-zenders KBS, MBC en YTN hadden slechts 10 procent van hun systemen hersteld en volledig herstel kon weken duren. De zenders zeiden echter dat hun uitzendmogelijkheden nooit werden beïnvloed, zei KCC.
