結局中国のIPアドレスからではなく韓国の攻撃

韓国の銀行やテレビネットワークに対する最近のサイバー攻撃は、中国で始まったのではないようだ、と国の当局者は金曜日言った。

「ダブルチェックとトリプルチェックの努力には不注意だった」と韓国通信委員会の李承元関係者は金曜日に記者団に語った。 「私たちは今、私たちの証拠が確かな場合にのみ発表を行います」とリーは言った。

3月20日、韓国のテレビ局KBS、MBC、YTN、および銀行機関の済州、ノンヒョップ、新韓は、ハードドライブからデータを消去するマルウェアに感染し、システムが動作不能になりました。 KCCは以前、中国のIPアドレスがNongHyup銀行の更新管理サーバーにアクセスして「ワイパー」マルウェアを配布し、影響を受けた6つの組織全体で推定32, 000のWindows、Unix、およびLinuxシステムからデータを消去したと述べていました。

AP通信の報告によると、KCCはNongHyupシステムで使用されているプラ​​イベートIPアドレスを「偶然」同じであるため、中国のIPアドレスと間違えたようです。 当局はシステムのハードドライブを押収しましたが、この時点で感染が発生した場所は明確ではありません。

「私たちはまだ、海外に拠点を置く疑いのある疑わしいIPアドレスを追跡しています」と、韓国インターネット安全保障局の副会長であるリー・ジェイルは記者団に語った。

帰属は難しい

KCCが中国のIPアドレスからの攻撃であると主張した直後、韓国当局は北朝鮮がこのキャンペーンの背後にいると非難した。 韓国は、以前の攻撃で韓国政府と業界のWebサイトを標的にした中国のIPアドレスを使用していると北側の隣人を非難していました。

ただし、中国のサーバーを使用して攻撃を仕掛ける国が後援する他のグループやサイバー犯罪者がたくさんいることを考えると、単一のIPアドレスだけでは決定的な証拠にはなりません。 また、攻撃者がアクティビティを隠したり、他の場所から来たように見せるために使用できるテクニックもたくさんあります。

KCCによるこの間違いは、韓国政府を恥ずかしく思う一方で、サイバー攻撃の起源と加害者を特定することが非常に難しい理由を完全に強調しています。 ガートナーの調査ディレクターであるローレンス・ピングリーは、攻撃の帰属は「非常に難しい」可能性があると述べています。

課題は、「ソースIPのなりすまし、プロキシサーバーの使用、ボットネットを使用した他の場所からの攻撃の配信など、インターネット上でカウンターインテリジェンスを使用できる」という事実にあります。 マルウェア開発者は、たとえば、異なる言語のキーボードマップを使用できます。

「中国語を理解しているが、出身国のためにエクスプロイトを開発している中国系アメリカ人またはヨーロッパ人は、問題のあるまたは不可能な帰属をもたらします」とピングリーは言いました。

攻撃の詳細

攻撃は複数の攻撃ベクトルを使用して開始されたように見え、当局は「すべての可能な侵入ルート」を特定するために「多国間」調査を開始しました、と韓国のYonhap News Agencyからのレポートによる。 KCCのLeeは、攻撃が韓国を起源とする可能性を軽視しましたが、その理由について詳しく説明しませんでした。

少なくとも1つのベクターは、マルウェアドロッパーを含むスピアフィッシングキャンペーンのようです、トレンドマイクロの研究者は発見しました。 韓国の一部の組織は、悪意のあるファイルが添付されたスパムバンクメッセージを受信しました。 ユーザーがファイルを開くと、マルウェアは複数のURLから、ネットワークに接続されたUnixおよびLinuxシステムをターゲットとするWindowsマスターブートレコードワイパーやbashスクリプトなどの追加のマルウェアをダウンロードしました。

研究者は、3月20日午後2時までマルウェアを「スリープ」状態に保つ「論理爆弾」をWindows MBRワイパーで特定しました。 指定された時間に、マルウェアは悪意のあるコードをアクティブにして実行しました。 銀行とテレビ局からの報告は、混乱がその日の午後2時ごろに始まったことを確認しています。

金曜日の時点で、済州銀行と新韓銀行はネットワークを復元し、NongHyupはまだ進行中だったが、3つすべてがオンラインに戻って機能していた。 テレビ局KBS、MBC、およびYTNは、システムの10％しか復元していなかったため、完全な復旧には数週間かかりました。 しかし、放送局は放送機能が影響を受けないと述べた、とKCCは言った。