Video: Federica - Dopotutto (Settembre 2024)
Sembra che i recenti attacchi informatici contro le banche e le reti televisive sudcoreane potrebbero non essere nati in Cina, hanno detto i funzionari del paese venerdì.
"Siamo stati negligenti nei nostri sforzi di ricontrollare e triplicare", ha detto ai giornalisti il funzionario della Korea Communications Commission Lee Seung-won. "Ora faremo annunci solo se la nostra prova è certa", ha detto Lee.
Il 20 marzo, le stazioni televisive coreane KBS, MBC e YTN, così come le istituzioni bancarie Jeju, NongHyup e Shinhan sono state infettate da un malware che ha cancellato i dati dai dischi rigidi, rendendo i sistemi inutilizzabili. Il KCC aveva precedentemente affermato che un indirizzo IP cinese accedeva al server di gestione degli aggiornamenti presso la banca NongHyup per distribuire il malware "wiper", che cancellava i dati da circa 32.000 sistemi Windows, Unix e Linux tra le sei organizzazioni interessate.
Sembra che KCC abbia scambiato un indirizzo IP privato usato da un sistema NongHyup come indirizzo IP cinese perché "coincideva" con lo stesso, secondo il rapporto Associated Press. I funzionari hanno sequestrato il disco rigido del sistema, ma non è chiaro a questo punto l'origine dell'infezione.
"Stiamo ancora monitorando alcuni indirizzi IP dubbi sospettati di avere sede all'estero", ha detto ai giornalisti Lee Jae-Il, vicepresidente della Korea Internet and Security Agency.
L'attribuzione è difficile
Poco dopo il KCC ha affermato che l'attacco è nato da un indirizzo IP in Cina, i funzionari della Corea del Sud hanno accusato la Corea del Nord di essere dietro questa campagna. La Corea del Sud aveva accusato il suo vicino settentrionale di aver utilizzato indirizzi IP cinesi per colpire il governo sudcoreano e i siti Web del settore negli attacchi precedenti.
Tuttavia, un solo indirizzo IP non è una prova conclusiva, considerando che ci sono molti altri gruppi sponsorizzati dallo stato e bande di criminali informatici che usano server cinesi per lanciare attacchi. Ci sono anche molte tecniche che gli attaccanti possono usare per nascondere le loro attività o far sembrare che provenga da qualche altra parte.
Questo errore del KCC, mentre è imbarazzante per il governo sudcoreano, evidenzia perfettamente perché è così difficile identificare le origini e gli autori di un attacco informatico. L'attribuzione degli attacchi può essere "estremamente difficile", ha affermato Lawrence Pingree, direttore della ricerca di Gartner.
La sfida sta nel fatto che "la controspionaggio può essere utilizzata su Internet come lo spoofing degli IP di origine, l'uso di server proxy, l'uso di botnet per inviare attacchi da altre posizioni" e altri metodi, ha detto Pingree. Gli sviluppatori di malware possono utilizzare mappe della tastiera di lingue diverse, ad esempio.
"Un cinese o un europeo che capisce il cinese ma sviluppa i propri exploit per il proprio paese di origine si tradurrà in un'attribuzione problematica o impossibile", ha detto Pingree.
Dettagli dell'attacco
Sembra che l'attacco sia stato lanciato utilizzando più vettori di attacco e le autorità hanno avviato un'indagine "multilaterale" per identificare "tutte le possibili vie di infiltrazione", secondo un rapporto della Yonhap News Agency della Corea del Sud. Lee di KCC ha scartato la possibilità che l'attacco fosse di origine sudcoreana, ma ha rifiutato di spiegarne il perché.
Almeno un vettore sembra essere una campagna di spear phishing che includeva un dropper di malware, hanno scoperto i ricercatori di Trend Micro. Alcune organizzazioni sudcoreane hanno ricevuto un messaggio di spamming con un file dannoso allegato. Quando gli utenti hanno aperto il file, il malware ha scaricato malware aggiuntivo, inclusi un tergicristallo del record di avvio principale di Windows e script bash destinati a sistemi Unix e Linux collegati in rete, da più URL.
I ricercatori hanno identificato una "bomba logica" nel tergicristallo dell'MBR di Windows che ha mantenuto il malware in uno stato di "sospensione" fino al 20 marzo alle 14:00. All'ora stabilita, il malware si è attivato ed eseguito il suo codice dannoso. I rapporti delle banche e delle emittenti televisive confermano che le interruzioni sono iniziate intorno alle 14:00 di quel giorno.
A partire da venerdì, le banche Jeju e Shinhan avevano ripristinato le loro reti e NongHyup era ancora in corso, ma tutti e tre erano tornati online e funzionanti. Le stazioni TV KBS, MBC e YTN avevano ripristinato solo il 10 percento dei loro sistemi e il recupero completo poteva richiedere settimane. Tuttavia, le stazioni hanno affermato che le loro capacità di trasmissione non sono mai state influenzate, ha detto KCC.
