Co się stało wczoraj w Korei, czyli trzy ataki czy cyberwojna

dodał 21 marca 2013 o 08:33 w kategorii Włamania, Złośniki  z tagami:
Co się stało wczoraj w Korei, czyli trzy ataki czy cyberwojna

Od wczoraj możemy usłyszeć lub przeczytać o skoordynowanych atakach na sieci Korei Południowej lub nawet o cyberwojnie między oboma Koreami. Zanim ulegniemy retoryce mediów, spójrzmy na wydarzania, które faktycznie miały miejsce.

Ok. 14 lokalnego czasu w Korei Południowej sieci trzech nadawców telewizyjnych oraz trzech banków stały się niedostępne. Kto je zaatakował? Z jakiego powodu? Kto usuwał dane z dysków a kto podmieniał strony? Co prawda na razie mamy więcej pytań, niż odpowiedzi, ale spróbujmy opisać w skrócie trzy różne ataki.

Atak pierwszy – złośliwe oprogramowanie

W sieci zaatakowanych firm znaleziono proste oprogramowanie, które o godzinie 14 rozpoczynało formatowanie sektorów startowych dysków twardych (podobnie działający program, który skasował dyski ogromnego producenta ropy naftowej w Arabii Saudyjskiej, opisywaliśmy we wrześniu zeszłego roku). Co ciekawe, wstępne analizy wykazują, że oprogramowanie to występowało w kilku wariantach (niektóre nie uruchamiały się o wyznaczonej godzinie, inne atakowały również dyski sieciowe). Nadpisywało MBR i restartowało komputer, powodując jego niedostępność. Różne wersje oprogramowania łączy jedna cecha – w nadpisanych sektorach umieszcza słowa „PRINCIPES” oraz „HASTATI”, czyli łacińskie określenia rodzajów rzymskiej piechoty.

Zdjęcie jednego z zaatakowanych komputerów (źródło: Twitter)

Zdjęcie jednego z zaatakowanych komputerów (źródło: Twitter)

Dodatkowo oprogramowanie to szukało plików konfiguracyjnych programu mRemote, zawierających dane potrzebne do logowania do zdalnych komputerów działających pod kontrolą systemów unixowych. Jeśli znalazło hasło roota, łączyło się do zdalnego komputera i usuwało podstawowe katalogi. Program mRemote nie należy do najpopularniejszych narzędzi – prawdopodobne jest, że atakujący wiedział o jego wykorzystywaniu w atakowanej sieci.

Co ciekawe, do tej pory nie ustalono, w jaki sposób złośliwe oprogramowanie dostało się na zainfekowane stacje. Egzemplarz złośliwego oprogramowania dla celów analizy można znaleźć tutaj, a opis jego działania autorstwa McAfee tutaj.

Atak drugi – podmiana strony

W czasie trwania pierwszego ataku zanotowano podmianę przynajmniej jednej strony dużego dostawcy sieci, firmy LG U+. Podmieniona strona wskazywała na grupę „Whois Team”, jednak nie nawiązywała do pozostałych ataków. Trudno powiedzieć, czy ktoś skorzystał z zamieszania, by przypisać sobie cudze zasługi, czy też był to tylko zbieg okoliczności.

Wygląd podmienionej strony

Wygląd podmienionej strony

Co prawda niektóre media donosiły, że podobny ekran pojawiał się na komputerach zaatakowanych przez wirusa kasującego dyski, jednak w trakcie analizy złośliwego oprogramowania nikt nie natrafił do tej pory na podobną grafikę.

Atak trzeci – utrata łączności

W trakcie powyższych ataków zaobserwowano istotne zmiany w rutingu sieci zaatakowanych firm. Prawie wszystkie ofiary ataków były klientami firmy LG U+. Wygląda na to, że atakujący uzyskali możliwość konfiguracji protokołu BGP i spowodowali niedostępność usług. Firma Renesys, monitorująca światowych ruch sieciowy, opisuje te wydarzenia dość dokładnie. Z ruterów na kilka godzin zniknęły rozgłaszane sieci dwóch nadawców telewizyjnych, banku oraz ogromnej firmy importującej płynny gaz ziemny. Prawdopodobna jest tez teoria, że same zaatakowane firmy postanowiły dociąć się od sieci, by uniknąć wycieku informacji.

Czy te ataki coś łączy?

Trudno ocenić, czy trzy opisywane powyżej wydarzenia łączy coś więcej, niż tylko występowanie w tym samym czasie i regionie. Wobec dużej skali różnego rodzaju ataków coraz trudniej jest korelować wydarzenia. Dla przykładu – dzień przed opisywanymi powyżej trzema atakami Avast opisał na swoim blogu atak na klientów koreańskich banków (AlienVault ma ciekawą teorię na ten temat, być może łączącą atak na klientów banków z wczorajszymi wydarzeniami w Korei), a kilka dni wcześniej doszło do długiej przerwy w dostępności internetu w Korei Północnej. Proponujemy zatem, by nie traktować poważnie doniesień mediów o cyberwojnie między Koreą Północną i Południową, a zamiast tego skupić się na analizie potwierdzonych faktów. Być może najbliższe dni przyniosą więcej odpowiedzi.