Ataki DDoS na Koreę Południową w 2009 roku

lipca 2009 r. były serią skoordynowanych cyberataków na główne rządy, media informacyjne i witryny finansowe w Korei Południowej i Stanach Zjednoczonych . Ataki obejmowały aktywację botnetu — dużej liczby przejętych komputerów — który złośliwie uzyskiwał dostęp do docelowych witryn internetowych z zamiarem spowodowania przeciążenia ich serwerów w wyniku napływu ruchu, co jest znane jako atak DDoS . Większość przejętych komputerów znajdowała się w Korei Południowej. Szacunkowa liczba przejętych komputerów jest bardzo zróżnicowana; około 20 000 według południowokoreańskiej Narodowej Służby Wywiadowczej , około 50 000 według grupy Security Technology Response Group firmy Symantec i ponad 166 000 według wietnamskiego badacza bezpieczeństwa komputerowego, który przeanalizował pliki dziennika dwóch serwerów kontrolowanych przez atakujących. Dochodzenie wykazało, że co najmniej 39 stron internetowych było celem ataków opartych na plikach przechowywanych w zaatakowanych systemach.

Kierowanie i czas ataków – które rozpoczęły się tego samego dnia, co północnokoreański test rakiety balistycznej krótkiego zasięgu – doprowadziły do ​​sugestii, że mogą one pochodzić z Korei Północnej , chociaż te sugestie nie zostały potwierdzone. Badacze znaleźli później powiązania między tymi cyberatakami, DarkSeoul z 2013 roku i innymi atakami przypisywanymi Grupie Lazarus . Atak ten jest uważany przez niektórych za początek serii ataków DDoS przeprowadzonych przez Lazarusa, nazwanych „Operacją Troja”.

Kalendarium ataków

Pierwsza fala

Pierwsza fala ataków miała miejsce 4 lipca 2009 r. ( Święto Niepodległości w Stanach Zjednoczonych ), a jej celem były zarówno Stany Zjednoczone , jak i Korea Południowa . Wśród zaatakowanych stron internetowych znalazły się strony Białego Domu , Pentagonu , nowojorskiej giełdy papierów wartościowych , Washington Post , NASDAQ i Amazon .

Druga fala

Druga fala ataków miała miejsce 7 lipca 2009 roku i dotknęła Koreę Południową. Wśród zaatakowanych stron internetowych były prezydencki Blue House , Ministerstwo Obrony , Ministerstwo Administracji Publicznej i Bezpieczeństwa , Narodowe Służby Wywiadu oraz Zgromadzenie Narodowe . Badacz bezpieczeństwa Chris Kubecka przedstawił dowody, że wiele firm z Unii Europejskiej i Wielkiej Brytanii nieświadomie pomogło zaatakować Koreę Południową z powodu infekcji W32.Dozer, złośliwego oprogramowania użytego w części ataku. Niektóre firmy wykorzystane w ataku były częściowo własnością kilku rządów, co dodatkowo komplikuje przypisanie.

Wizualizacja ataków cybernetycznych na Koreę Południową z 2009 roku

Trzecia fala

Trzecia fala ataków rozpoczęła się 9 lipca 2009 r. i wymierzona była w kilka stron internetowych w Korei Południowej, w tym krajową Narodową Służbę Wywiadowczą , a także jeden z jej największych banków i dużą agencję prasową. Departament Stanu USA poinformował 9 lipca, że ​​jego strona internetowa również została zaatakowana. Rzecznik Departamentu Stanu, Ian Kelly, powiedział: „Chcę tylko mówić o naszej stronie internetowej, stronie internetowej rządu stanowego. Nie ma dużej liczby ataków. Ale nadal jesteśmy tym zaniepokojeni. Trwają”. Rzeczniczka Departamentu Bezpieczeństwa Wewnętrznego USA, Amy Kudwa, powiedziała, że ​​departament był świadomy ataków i wystosował zawiadomienie do departamentów i agencji federalnych USA, aby podjęły kroki w celu złagodzenia ataków.

Efekty

Pomimo faktu, że celem ataków były główne witryny sektora publicznego i prywatnego, biuro prezydenta Korei Południowej zasugerowało, że celem ataków było spowodowanie zakłóceń, a nie kradzież danych. Jednak Jose Nazario, kierownik amerykańskiej firmy zajmującej się bezpieczeństwem sieci, twierdził, że szacuje się, że atak wytworzył tylko 23 megabity danych na sekundę, co nie wystarczy, aby spowodować poważne zakłócenia. To powiedziawszy, strony internetowe zgłaszały zakłócenia w świadczeniu usług przez kilka dni po ataku.

Później odkryto, że szkodliwy kod odpowiedzialny za spowodowanie ataku, Trojan.Dozer i towarzyszący mu dropper W32.Dozer, został zaprogramowany w celu zniszczenia danych na zainfekowanych komputerach i uniemożliwienia ponownego uruchomienia komputerów. Nie jest jasne, czy mechanizm ten został kiedykolwiek uruchomiony. Eksperci ds. bezpieczeństwa powiedzieli, że atak ponownie wykorzystał kod robaka Mydoom do rozprzestrzeniania infekcji między komputerami. Eksperci stwierdzili ponadto, że złośliwe oprogramowanie użyte w ataku „nie wykorzystywało wyrafinowanych technik unikania wykrycia przez oprogramowanie antywirusowe i nie wydaje się, aby zostało napisane przez kogoś doświadczonego w kodowaniu złośliwego oprogramowania”.

Oczekiwano, że koszty ekonomiczne związane z awarią stron internetowych będą duże, ponieważ zakłócenie uniemożliwiło ludziom przeprowadzanie transakcji, kupowanie przedmiotów lub prowadzenie działalności.

Sprawcy

Nie wiadomo, kto stoi za atakami. Raporty wskazują, że rodzaj wykorzystywanych ataków, powszechnie znanych jako rozproszone ataki typu „odmowa usługi” , nie był wyrafinowany. Biorąc pod uwagę długotrwały charakter ataków, uznaje się je za bardziej skoordynowaną i zorganizowaną serię ataków.

Według południowokoreańskiej Narodowej Służby Wywiadowczej źródło ataków zostało wyśledzone, a rząd uruchomił awaryjny zespół reagowania na cyberterroryzm, który zablokował dostęp do pięciu witryn zawierających złośliwy kod i 86 stron internetowych, które pobrały kod, zlokalizowanych w 16 krajów, w tym Stanów Zjednoczonych, Gwatemali , Japonii i Chińskiej Republiki Ludowej , ale nie było wśród nich Korei Północnej.

Czas ataku skłonił niektórych analityków do podejrzeń wobec Korei Północnej. Atak rozpoczął się 4 lipca 2009 r., tego samego dnia co północnokoreański wystrzelenie rakiety balistycznej krótkiego zasięgu, a także miał miejsce niecały miesiąc po przyjęciu rezolucji Rady Bezpieczeństwa ONZ nr 1874, która nałożyła dalsze sankcje gospodarcze i handlowe na Koreę Północną w odpowiedzi na podziemną próbę jądrową przeprowadzoną na początku tego roku.

Południowokoreańska policja przeanalizowała próbkę tysięcy komputerów używanych przez botnet, stwierdzając, że istnieją „różne dowody” na zaangażowanie Korei Północnej lub „elementów propółnocnych”, ale powiedziała, że ​​​​może nie znaleźć winowajcy. Urzędnicy wywiadu z rządem Korei Południowej ostrzegli ustawodawców, że „północnokoreański wojskowy instytut badawczy otrzymał rozkaz zniszczenia sieci komunikacyjnych Południa”.

Joe Stewart, badacz w SecureWorks Counter Threat Unit, zauważył, że dane generowane przez atakujący program wydają się być oparte na koreańskiej przeglądarce.

Różni eksperci ds. bezpieczeństwa zakwestionowali narrację, że atak pochodzi z Korei Północnej. Jeden z analityków uważa, że ​​ataki prawdopodobnie pochodziły z Wielkiej Brytanii, podczas gdy analityk technologiczny Rob Enderle wysuwa hipotezę, że winni mogą być „nadaktywni studenci”. Joe Stewart z SecureWorks spekulował, że celem ataku było zachowanie polegające na zwracaniu na siebie uwagi, chociaż zauważa, że ​​zakres ataku był „niezwykły”.

30 października 2009 roku agencja szpiegowska Korei Południowej, National Intelligence Service , wskazała Koreę Północną jako sprawcę ataku. Według szefa NIS Won Sei-hoona , organizacja znalazła powiązanie między atakami a Koreą Północną za pośrednictwem adresu IP, z którego północnokoreańskie Ministerstwo Poczty i Telekomunikacji rzekomo „[używało] do wynajęcia (z Chin)”.

Zobacz też

• Cyberataki na Estonię w 2007 roku
• Cyberterroryzm
• Ćwiczenie Cyber ​​Storm
• Labirynt w świetle księżyca
• Tytanowy deszcz
• Porównanie wirusów komputerowych
• Atak typu „odmowa usługi”.