Cyberatak na Koreę Południową w 2013 roku
W 2013 roku miały miejsce dwa główne zestawy cyberataków na cele w Korei Południowej , które zostały przypisane elementom w Korei Północnej.
Marsz
W dniu 20 marca 2013 r. trzy południowokoreańskie stacje telewizyjne i bank ucierpiały z powodu zamrożenia terminali komputerowych w związku z podejrzeniem aktu cyberwojny . Wpłynęło to również na bankomaty i płatności mobilne. Południowokoreański organ nadzorujący komunikację, Korea Communications Commission, podniósł poziom alertu dotyczącego cyberataków do trzech w pięciostopniowej skali. Korea Północna została oskarżona o podobne ataki w 2009 i 2011 roku i była podejrzana również o przeprowadzenie tego ataku. Atak ten nastąpił również w okresie wzmożonych napięć między obiema Koreami, po próbie nuklearnej Pjongjangu 12 lutego. Południowokoreańscy urzędnicy powiązali incydent z chińskim adresem IP , co zwiększyło podejrzenia wobec Korei Północnej , ponieważ „eksperci wywiadu uważają, że Korea Północna rutynowo używa chińskich adresów komputerowych do ukrywania swoich cyberataków”.
Ataki na wszystkie sześć organizacji pochodziły od jednego podmiotu. Sieci zostały zaatakowane przez złośliwe kody, a nie rozproszone typu „odmowa usługi” (DDoS), jak podejrzewano na początku. Wyglądało na to, że użył tylko nadpisań dysku twardego. Ten cyberatak „uszkodził 32 000 komputerów i serwerów firm medialnych i finansowych”. Komisja Usług Finansowych Korei Południowej powiedziała, że Shinhan Bank poinformował, że jego serwery bankowości internetowej zostały tymczasowo zablokowane, a Jeju Bank i NongHyup poinformowały, że operacje w niektórych oddziałach zostały sparaliżowane po zainfekowaniu komputerów wirusami i ich plikami wymazany. Woori Bank zgłosił atak hakerski, ale powiedział, że nie poniósł żadnych szkód. Awarie komputerów dotknęły także firmy, w tym Korean Broadcasting System , Munhwa Broadcasting Corporation i YTN .
Ten cyberatak „spowodował szkody gospodarcze w wysokości 750 mln USD. (Feakin 2013)” Ponadto „częstotliwość ataków cybernetycznych ze strony Korei Północnej i szeroko zakrojone działania cyberszpiegowskie przypisywane Chinom budzą poważne zaniepokojenie rządu Korei Południowej. (Lewis 2013)”
Czerwiec
Cyberterror z 25 czerwca to wyciek informacji, który miał miejsce 25 czerwca 2013 r. i dotyczył Cheongwadae i innych instytucji. Haker, który spowodował ten incydent, przyznał, że informacje o 2,5 milionach partii Saenuri , 300 tysiącach żołnierzy, 100 tysiącach użytkowników strony głównej Cheongwadae i 40 tysiącach członków Sił Zbrojnych Stanów Zjednoczonych w Korei . Widoczne były ataki hakerskie na rządowe strony internetowe. Do zdarzenia doszło w 63. rocznicę wybuchu wojny koreańskiej w latach 1950-53 , która podzieliła Półwysep Koreański . Od czasu Blue House zhakowano dane osobowe łącznie 220 000 osób, w tym 100 000 zwykłych obywateli i 20 000 personelu wojskowego, korzystających ze strony internetowej „ Cheong Wa Dae ”. Zagrożenie dotyczyło również strony internetowej Biura Koordynacji Polityki Rządowej oraz niektórych serwerów multimedialnych.
Podczas gdy wiele ataków zostało zorganizowanych przez wielu sprawców, jeden z rozproszonych ataków typu „odmowa usługi” (DDoS) na strony internetowe rządu Korei Południowej był bezpośrednio powiązany z gangiem „DarkSeoul” i trojanem Castov. Złośliwe oprogramowanie związane z atakiem nosi w świecie komputerowym nazwę „DarkSeoul” i zostało po raz pierwszy zidentyfikowane w 2012 r. Przyczyniło się ono do wielu wcześniejszych głośnych ataków na Koreę Południową.
Oś czasu
Około 25 czerwca 2013 r. o godzinie 9:10 witryny takie jak witryna Cheongwadae, witryny głównych instytutów rządowych, witryny z wiadomościami itp. stały się ofiarami zmian w witrynach, ataków DDoS , kradzieży informacji i innych podobnych ataków. Podczas łączenia się ze stroną główną Cheongwadae słowa takie jak „Wielki Kim Jong-un ” i „Witajcie zjednoczonego przewodniczącego Kim Jong-un! Dopóki nasze żądania nie zostaną spełnione, nasze ataki będą kontynuowane. Powitaj nas. Jesteśmy anonimowi” pojawi się ze zdjęciem prezydenta Park Geun-hye .
Rząd zmienił status zagrożenia cybernetycznego na „godny uwagi” 25 czerwca o godzinie 10:45, a następnie zmienił go na „ostrzeżenie” o godzinie 15:40. Cheongwadae przesłał przeprosiny 28 czerwca.
Ministerstwo Nauki, ICT i Planowania Przyszłości ujawniło 16 lipca, że zarówno marcowe, jak i czerwcowe incydenty odpowiadają dawnym metodom hakerskim stosowanym przez Koreę Północną . Jednak zaatakowane cele obejmują witrynę japońskiej koreańskiej Centralnej Agencji Informacyjnej i główne północnokoreańskie witryny anty-południowe, a hakerzy ogłosili również, że ujawnią informacje o około 20 wysokich rangą oficerach armii północnokoreańskiej z niezliczonymi fragmentami informacji na temat koreańskie uzbrojenie.
Odpowiedź
Po włamaniu w czerwcu pojawiły się dalsze spekulacje, że za ataki odpowiada Korea Północna . Śledczy ustalili, że „adres IP użyty w ataku odpowiadał adresowi użytemu w poprzednich próbach hakerskich Pjongjangu ”. Park Jae-moon, były dyrektor generalny w Ministerstwie Nauki, ICT i Planowania Przyszłości, powiedział: „82 złośliwe kody [zebrane z uszkodzonych urządzeń] i adresy internetowe użyte do ataku, a także wcześniejsze schematy hakerskie Korei Północnej ”, udowodnił, że „metody hakowania były takie same”, jak te użyte w cyberatakach z 20 marca.
W związku z tym incydentem rząd Korei publicznie ogłosił, że przejmie kontrolę nad „Cyber Terror Response Control Tower” i wraz z różnymi ministerstwami Narodowa Służba Wywiadowcza (NIS) będzie odpowiedzialna za zbudowanie kompleksowego systemu reagowania przy użyciu „National Cyber Środki bezpieczeństwa."
Rząd Korei Południowej potwierdził związek z Pjongjangiem w marcowych cyberatakach , czemu Pjongjang zaprzeczył. Podejrzewa się, że w ataku uczestniczył 50-letni mężczyzna z Korei Południowej, zidentyfikowany jako pan Kim.
Pojawienie się w południowokoreańskim National Geographic
Południowokoreański National Geographic opublikował cyberterror jako jedno z 10 najpopularniejszych słów kluczowych w 2013 roku z powodu tych ataków.