Vidéo: HORA DE LA NORD orchestra LAUTARII #noroctv (Novembre 2024)
Il semble que les récentes cyber-attaques contre les banques et les réseaux de télévision sud-coréens ne soient pas originaires de Chine, ont déclaré vendredi des responsables de ce pays.
"Nous avons fait preuve de négligence dans nos efforts pour vérifier encore et encore", a déclaré vendredi à la presse Lee Seung-won, représentant de la Commission coréenne des communications. "Nous allons maintenant faire des annonces uniquement si nos preuves sont certaines", a déclaré Lee.
Le 20 mars, les chaînes de télévision coréennes KBS, MBC et YTN, ainsi que les institutions bancaires Jeju, NongHyup et Shinhan ont été infectées par un programme malveillant qui a effacé les données des disques durs, rendant les systèmes inutilisables. Le KCC avait précédemment déclaré qu'une adresse IP chinoise avait accédé au serveur de gestion des mises à jour de la banque NongHyup pour distribuer le programme malveillant "wiper", qui effaçait les données d'environ 32 000 systèmes Windows, Unix et Linux répartis dans les six organisations touchées.
Il semblerait que KCC ait confondu une adresse IP privée utilisée par un système NongHyup avec une adresse IP chinoise, parce qu'elles étaient "identiques par coïncidence", selon l'agence Associated Press. Les responsables ont saisi le disque dur du système, mais l’infection n’est pas encore claire.
"Nous traquons toujours des adresses IP douteuses soupçonnées d'être basées à l'étranger", a déclaré aux journalistes Lee Jae-Il, vice-président de l'agence coréenne Internet et sécurité.
L'attribution est difficile
Peu de temps après que KCC eut prétendu que l'attaque provenait d'une adresse IP en Chine, des responsables sud-coréens ont accusé la Corée du Nord d'être à l'origine de cette campagne. La Corée du Sud avait accusé son voisin du nord d'utiliser des adresses IP chinoises pour cibler les sites Web du gouvernement sud-coréen et de l'industrie lors d'attaques précédentes.
Cependant, une seule adresse IP n'est pas une preuve concluante, étant donné qu'il existe de nombreux autres groupes parrainés par l'État et des gangs de cybercriminels qui utilisent des serveurs chinois pour lancer des attaques. Il existe également de nombreuses techniques que les assaillants peuvent utiliser pour dissimuler leurs activités ou donner l’impression que cela vient d’ailleurs.
Cette erreur de KCC, bien que gênante pour le gouvernement sud-coréen, montre parfaitement pourquoi il est si difficile d'identifier les origines et les auteurs d'une cyber-attaque. L'attribution d'attaques peut être "extrêmement difficile", a déclaré Lawrence Pingree, directeur de recherche chez Gartner.
Le défi réside dans le fait que "la contre-intelligence peut être utilisée sur Internet, par exemple en usurpant l'adresse IP source, en utilisant des serveurs proxy, en utilisant des réseaux de zombies pour mener des attaques ailleurs", a déclaré Pingree. Les développeurs de logiciels malveillants peuvent utiliser des cartes de clavier de différentes langues, par exemple.
"Un Chinois américain ou européen qui comprend le chinois mais développe ses exploits pour son pays d'origine entraînera une imputation problématique ou impossible", a déclaré Pingree.
Détails de l'attaque
L'attaque semble avoir été lancée à l'aide de plusieurs vecteurs d'attaque et les autorités ont lancé une enquête "multilatérale" pour identifier "toutes les voies d'infiltration possibles" ", selon un rapport de l'agence de presse Yonhap, Corée du Sud. Lee de KCC a écarté la possibilité que l'attaque soit d'origine sud-coréenne, mais a refusé de préciser pourquoi.
Les chercheurs de Trend Micro ont découvert qu'au moins un vecteur était une campagne de spear phishing comportant un compte-gouttes. Certaines organisations sud-coréennes ont reçu un courrier indésirable contenant une pièce jointe illicite. Lorsque les utilisateurs ont ouvert le fichier, le programme malveillant a téléchargé des logiciels malveillants supplémentaires, notamment des scripts essuie-glace et bash pour l'enregistrement de démarrage principal de Windows, ciblant les systèmes Unix et Linux connectés en réseau, à partir de plusieurs URL.
Les chercheurs ont identifié une «bombe logique» dans l’essuie-glace MBR de Windows qui maintenait les logiciels malveillants en état de veille jusqu'au 20 mars à 14 heures. À l'heure convenue, le logiciel malveillant a activé et exécuté son code malveillant. Les rapports des banques et des chaînes de télévision confirment que les perturbations ont commencé vers 14 heures le même jour.
Vendredi, les banques de Jeju et de Shinhan avaient restauré leurs réseaux, et NongHyup était toujours en cours de développement, mais les trois étaient de nouveau en ligne et fonctionnels. Les chaînes de télévision KBS, MBC et YTN n’ont restauré que 10% de leurs systèmes et une récupération complète pourrait prendre des semaines. Cependant, les stations ont déclaré que leurs capacités de diffusion n’avaient jamais été touchées, a déclaré KCC.
