Trang Chủ Đồng hồ an ninh Rốt cuộc Hàn Quốc không phải từ địa chỉ IP của Trung Quốc

Rốt cuộc Hàn Quốc không phải từ địa chỉ IP của Trung Quốc

Video: Cuộc tuần tra thách thức Trung Quốc ở Biển Đông của trinh sát cÆ¡ Mỹ (Tháng mười một 2024)

Video: Cuộc tuần tra thách thức Trung Quốc ở Biển Đông của trinh sát cÆ¡ Mỹ (Tháng mười một 2024)
Anonim

Có vẻ như các cuộc tấn công mạng gần đây chống lại các ngân hàng và mạng lưới truyền hình của Hàn Quốc có thể không bắt nguồn từ Trung Quốc, các quan chức nước này cho biết hôm thứ Sáu.

"Chúng tôi đã bất cẩn trong nỗ lực kiểm tra hai lần và kiểm tra ba lần", quan chức Ủy ban Truyền thông Hàn Quốc Lee Seung-won nói với các phóng viên hôm thứ Sáu. "Bây giờ chúng tôi sẽ đưa ra thông báo chỉ khi bằng chứng của chúng tôi là chắc chắn", Lee nói.

Vào ngày 20 tháng 3, các đài truyền hình Hàn Quốc KBS, MBC và YTN, cũng như các tổ chức ngân hàng Jeju, NongHyup và Shinhan đã bị nhiễm phần mềm độc hại xóa sạch dữ liệu trên ổ cứng, khiến hệ thống không thể hoạt động. KCC trước đây cho biết một địa chỉ IP của Trung Quốc đã truy cập máy chủ quản lý cập nhật tại ngân hàng NongHyup để phân phối phần mềm độc hại "gạt nước", xóa dữ liệu từ khoảng 32.000 hệ thống Windows, Unix và Linux trên sáu tổ chức bị ảnh hưởng.

Có vẻ như KCC đã nhầm địa chỉ IP riêng được sử dụng bởi hệ thống NongHyup là địa chỉ IP của Trung Quốc vì chúng "trùng hợp" giống nhau, theo báo cáo của Associated Press. Các quan chức đã tịch thu ổ cứng của hệ thống, nhưng không rõ tại thời điểm nhiễm trùng này bắt nguồn từ đâu.

"Chúng tôi vẫn đang theo dõi một số địa chỉ IP đáng ngờ bị nghi ngờ có trụ sở ở nước ngoài", Lee Jae-Il, phó chủ tịch Cơ quan An ninh và Internet Hàn Quốc, nói với các phóng viên.

Ghi công khó

Ngay sau khi KCC tuyên bố vụ tấn công bắt nguồn từ một địa chỉ IP ở Trung Quốc, các quan chức Hàn Quốc đã cáo buộc Triều Tiên đứng sau chiến dịch này. Hàn Quốc đã cáo buộc nước láng giềng phía bắc sử dụng địa chỉ IP của Trung Quốc để nhắm mục tiêu vào các trang web của chính phủ và công nghiệp Hàn Quốc trong các cuộc tấn công trước đó.

Tuy nhiên, chỉ một địa chỉ IP duy nhất không phải là bằng chứng thuyết phục, vì có rất nhiều nhóm và băng đảng tội phạm mạng được tài trợ bởi các máy chủ Trung Quốc để tiến hành các cuộc tấn công. Ngoài ra còn có rất nhiều kỹ thuật mà kẻ tấn công có thể sử dụng để che giấu các hoạt động của chúng hoặc làm cho nó có vẻ như đến từ một nơi khác.

Sai lầm này của KCC, trong khi gây bối rối cho chính phủ Hàn Quốc, đã nêu rõ một cách hoàn hảo lý do tại sao rất khó xác định nguồn gốc và thủ phạm của một cuộc tấn công mạng. Ghi công của các cuộc tấn công có thể là "cực kỳ khó khăn", Lawrence Pingree, giám đốc nghiên cứu tại Gartner, nói.

Thách thức nằm ở chỗ "phản gián có thể được sử dụng trên Internet như giả mạo IP nguồn, sử dụng máy chủ proxy, sử dụng botnet để thực hiện các cuộc tấn công ra khỏi các địa điểm khác" và các phương pháp khác, Pingree nói. Các nhà phát triển phần mềm độc hại có thể sử dụng bản đồ bàn phím của các ngôn ngữ khác nhau, ví dụ.

Pingree nói: "Một người Mỹ gốc Hoa hoặc châu Âu hiểu tiếng Trung Quốc nhưng phát triển khai thác cho quốc gia gốc của họ sẽ dẫn đến sự quy kết có vấn đề hoặc không thể thực hiện được".

Chi tiết về cuộc tấn công

Cuộc tấn công dường như đã được phát động bằng nhiều vectơ tấn công và chính quyền đã mở cuộc điều tra "đa phương" để xác định "tất cả các tuyến xâm nhập có thể xảy ra", theo báo cáo từ Hãng thông tấn Yonhap của Hàn Quốc. Lee của KCC đã giảm giá khả năng cuộc tấn công có nguồn gốc từ Hàn Quốc, nhưng từ chối giải thích lý do tại sao.

Ít nhất một vectơ dường như là một chiến dịch lừa đảo giáo bao gồm một phần mềm độc hại, các nhà nghiên cứu của Trend Micro đã tìm thấy. Một số tổ chức của Hàn Quốc đã nhận được một tin nhắn ngân hàng spam với tệp đính kèm độc hại. Khi người dùng mở tệp, phần mềm độc hại đã tải xuống phần mềm độc hại bổ sung, bao gồm trình quét bản ghi khởi động chính của Windows và các tập lệnh bash nhắm vào các hệ thống Unix và Linux được gắn mạng, từ nhiều URL.

Các nhà nghiên cứu đã xác định được "quả bom logic" trong cần gạt Windows MBR, giữ phần mềm độc hại ở trạng thái "ngủ" cho đến ngày 20 tháng 3 lúc 2 giờ chiều. Tại thời điểm được chỉ định, phần mềm độc hại đã kích hoạt và thực thi mã độc. Các báo cáo từ các ngân hàng và đài truyền hình xác nhận rằng sự gián đoạn bắt đầu vào khoảng 2 giờ chiều ngày hôm đó.

Kể từ thứ Sáu, các ngân hàng Jeju và Shinhan đã khôi phục mạng lưới của họ và NongHyup vẫn đang được tiến hành, nhưng cả ba đều hoạt động trở lại và hoạt động. Các đài truyền hình KBS, MBC và YTN đã khôi phục chỉ 10 phần trăm hệ thống của họ và việc khôi phục hoàn toàn có thể mất vài tuần. Tuy nhiên, các đài cho biết khả năng phát sóng của họ không bao giờ bị ảnh hưởng, KCC nói.

Rốt cuộc Hàn Quốc không phải từ địa chỉ IP của Trung Quốc