Кибератаки в июле 2009 г. - July 2009 cyberattacks

В Кибератаки в июле 2009 г. были серии скоординированных кибератаки против крупных правительственных, новостных и финансовых сайтов в Южная Корея и Соединенные Штаты.[1] Атаки включали активацию ботнет - большое количество захваченных компьютеров, которые злонамеренно заходили на целевые веб-сайты с намерением вызвать перегрузку их серверов из-за притока трафика, известного как DDoS атака.[1] Большинство похищенных компьютеров находилось в Южной Корее.[2] Приблизительное количество захваченных компьютеров сильно различается; около 20 000 по данным южнокорейского Национальная разведывательная служба, около 50 000 по данным Symantec группа реагирования на технологии безопасности,[3] и более 166 000, по данным вьетнамского исследователя компьютерной безопасности, который проанализировал файлы журналов двух серверов, контролируемых злоумышленниками.[4] Расследование показало, что целью атак были как минимум 39 веб-сайтов, основанные на файлах, хранящихся в скомпрометированных системах.[5][6]

Нацеливание и время атак - которые начались в тот же день, что и северокорейские испытания баллистических ракет малой дальности - привели к предположениям, что они могут быть Северная Корея, хотя эти предположения не нашли подтверждения.[7][8][9] Позже исследователи обнаружили связь между этими кибератаками, Темный Сеул атаки в 2013 году и другие атаки, приписываемые Lazarus Group.[10] Некоторые считают эту атаку началом серии DDoS-атак, проводимых Lazarus под названием «Операция Троя».[11]

Хронология атак

Первая волна

Первая волна атак произошла 4 июля 2009 г. (Праздник Дня независимости в США ), ориентируясь как на Соединенные Штаты и Южная Корея. Среди затронутых веб-сайтов были веб-сайты белый дом, Пентагон, то Нью-Йоркская фондовая биржа, то Вашингтон Пост, то NASDAQ, и Amazon.[1][12]

Вторая волна

Вторая волна атак произошла 7 июля 2009 года, затронув Южную Корею. Среди веб-сайтов, подвергшихся атаке, были президентские Синий дом, то Министерство обороны, то Министерство государственного управления и безопасности, то Национальная разведывательная служба и национальное собрание.[7][13][12] Исследователь безопасности Крис Кубецка представил несколько доказательств Евросоюз и объединенное Королевство компании невольно помогли атаковать Южную Корею из-за W32.Бульдозер инфекции, вредоносное ПО, использованное в атаке. Некоторые из компаний, использованных в атаке, частично принадлежали нескольким правительствам, что еще больше усложняло атрибуцию.[14]

Визуализация кибервойны 2009 г. против Южной Кореи

Третья волна

Третья волна атак началась 9 июля 2009 г., нацелившись на несколько веб-сайтов в Южной Корее, в том числе на веб-сайты этой страны. Национальная разведывательная служба а также один из крупнейших банков и крупное информационное агентство.[1][15] В Государственный департамент США 9 июля заявила, что ее сайт также подвергся атаке.[16] Официальный представитель госдепартамента Ян Келли сказал: «Я просто собираюсь рассказать о нашем веб-сайте, веб-сайте state.gov. Количество атак невелико. Но мы все еще обеспокоены этим. Они продолжаются».[16] Министерство внутренней безопасности США Представитель Эми Кудва заявила, что ведомству было известно об атаках и что оно направило уведомление федеральным департаментам и агентствам США о принятии мер по смягчению последствий атак.[5]

Последствия

Несмотря на то, что атаки были нацелены на основные веб-сайты государственного и частного секторов, администрация президента Южной Кореи предположила, что атаки проводились с целью нарушения работы, а не кражи данных.[17] Однако Хосе Назарио, менеджер американской фирмы по обеспечению сетевой безопасности, заявил, что атака, по оценкам, произвела только 23 мегабиты данных в секунду недостаточно, чтобы вызвать серьезные сбои.[5] При этом веб-сайты сообщали о перебоях в обслуживании в течение нескольких дней после атаки.[8]

Позже было обнаружено, что вредоносный код, вызвавший атаку, Trojan.Dozer и сопровождающий его дроппер W32.Dozer, был запрограммирован на уничтожение данных на зараженных компьютерах и предотвращение их перезагрузки.[3] Неясно, был ли когда-либо задействован этот механизм. Эксперты по безопасности заявили, что при атаке повторно использовался код из Mydoom червь для распространения инфекции между компьютерами.[3][6] Эксперты также поделились, что вредоносная программа, использованная в атаке, «не использовала сложных методов для уклонения от обнаружения антивирусным программным обеспечением и, похоже, не была написана кем-то, имеющим опыт кодирования вредоносных программ».[6]

Ожидалось, что экономические издержки, связанные с отключением веб-сайтов, будут значительными, поскольку из-за сбоя люди не могли совершать транзакции, покупать товары или вести бизнес.[18]

Преступники

Кто стоит за атаками, неизвестно. В отчетах указано, что используемый тип атак, широко известный как распределенные атаки типа "отказ в обслуживании", были бесхитростными.[9][5][19] Учитывая длительный характер атак, они считаются более скоординированной и организованной серией атак.[8]

По данным Национальной разведывательной службы Южной Кореи, источник атак был обнаружен, и правительство активировало группу экстренного реагирования на кибертерроризм, которая заблокировала доступ к пяти хост-сайтам, содержащим вредоносный код, и 86 веб-сайтам, которые загрузили код, расположенным в 16 страны, включая США, Гватемала, Япония и Китайская Народная Республика, но Северной Кореи среди них не было.[20]

Выбор времени для атаки заставил некоторых аналитиков с подозрением относиться к Северной Корее. Атака началась 4 июля 2009 г., в тот же день, что и северокорейский пуск баллистической ракеты малой дальности, и также произошло менее чем через месяц после прохождения Резолюция Совета Безопасности ООН 1874, который ввел дополнительные экономические и коммерческие санкции против Северной Кореи в ответ на подземное ядерное испытание, проведенное ранее в том же году.

Южнокорейская полиция проанализировала выборку из тысяч компьютеров, используемых ботнетом, заявив, что существуют «различные доказательства» причастности Северной Кореи или «про-северных элементов», но заявила, что, возможно, не найдет виновника.[21][18] Представители разведки правительства Южной Кореи предупредили законодателей о том, что «северокорейскому военному исследовательскому институту было приказано уничтожить коммуникационные сети Юга».[21]

Джо Стюарт, исследователь в SecureWorks Counter Threat Unit отметил, что данные, сгенерированные атакующей программой, по всей видимости, основаны на браузере на корейском языке.[5]

Различные эксперты по безопасности подвергли сомнению версию о том, что нападение произошло в Северной Корее. Один аналитик считает, что атаки, скорее всего, исходили из Соединенного Королевства, в то время как технологический аналитик Роб Эндерл предполагает, что в этом могут быть виноваты «сверхактивные студенты».[4][18] Джо Стюарт из SecureWorks предположил, что причиной атаки было привлечение внимания, хотя он отмечает, что масштаб атаки был «необычным».[6]

30 октября 2009 г. южнокорейское шпионское агентство Национальная разведывательная служба, назвал Северную Корею виновником нападения. По словам главы НИС Вон Сэй Хун, организация обнаружила связь между атаками и Северной Кореей через IP-адрес, который северокорейское министерство почты и телекоммуникаций якобы «[использовало] в аренду (из Китая)».[22]

Смотрите также

Рекомендации

  1. ^ а б c d "Новые" кибератаки "ударили по Южной Корее". Новости BBC. 2009-07-09. Получено 2009-07-09.
  2. ^ Клэберн, Томас (2009-07-10). «Код кибератаки запускает убийство зараженных компьютеров». Информационная неделя. Получено 2009-07-10.
  3. ^ а б c Миллс, Элинор (10 июля 2009 г.). «Ботнет-червь в DOS-атаках может уничтожить данные на зараженных компьютерах». CNET Новости. Получено 2009-07-12.
  4. ^ а б Уильямс, Мартин (14 июля 2009 г.). «Источник DDOS-атак - Великобритания, а не Северная Корея, - говорит исследователь».. Служба новостей IDG. Архивировано из оригинал на 2011-06-15.
  5. ^ а б c d е Марков, Джон (2009-07-09). «Кибератаки блокируют правительственные и коммерческие веб-сайты в США и Южной Корее». Нью-Йорк Таймс. Получено 2009-07-09.
  6. ^ а б c d Зеттер, Ким (2008-07-08). "Ленивый хакер и маленький червяк разжигают безумие кибервойны". Проводные новости. Получено 2009-07-09.
  7. ^ а б «Пхеньян обвиняется в кибератаке в Южной Корее». Financial Times. 2009-07-09. Получено 2009-07-09.
  8. ^ а б c Ким, Хён-Джин (2009-07-08). "Корейские и американские веб-сайты подверглись предполагаемой кибератаке". Ассошиэйтед Пресс. Архивировано из оригинал 11 июля 2009 г.. Получено 2009-07-09.
  9. ^ а б Макдевитт, Кейтлин (2009-07-09). "Последствия кибератаки". Рейтер. Архивировано из оригинал 12 июля 2009 г.. Получено 2009-07-09.
  10. ^ Зеттер, Ким (24 февраля 2016 г.). «Хакеры Sony за годы до того, как нанесли удар по компании, устроили погром». Проводной. ISSN  1059-1028. Получено 2018-12-14.
  11. ^ Мартин, Дэвид (4 марта 2016 г.). «По следам происхождения DarkSeoul». Институт SANS.
  12. ^ а б «Правительства, пострадавшие от кибератаки». Новости BBC. 2009-07-08. Получено 2009-07-09.
  13. ^ «Кибератаки поражают правительственные и коммерческие сайты». Foxreno.com. 2009-07-08. Архивировано из оригинал на 2009-07-12. Получено 2009-07-09.
  14. ^ «28c3: Визуализация журнала безопасности с помощью механизма корреляции». 29 декабря 2011 г.. Получено 4 ноября, 2017.
  15. ^ "Официально: веб-сайты Южной Кореи подверглись новой атаке". Ассошиэйтед Пресс. 2009-07-09. Архивировано из оригинал 15 июля 2009 г.. Получено 2009-07-09.
  16. ^ а б «Госдепартамент США четвертый день подвергается кибератаке». AFP. 2009-07-10.
  17. ^ «Администрация президента Южной Кореи заявляет, что хакерские атаки не пострадали». Синьхуа. 2009-07-08. Получено 2009-07-09.
  18. ^ а б c Хан, Джейн (2009-07-09). "Кибератака бьет по Корее третий день". Korea Times. Архивировано из оригинал на 2009-07-11. Получено 2009-07-09.
  19. ^ Арнольди, Бен (2009-07-09). «Кибератаки против США и Южной Кореи сигнализируют о гневе, а не об опасности». Christian Science Monitor.
  20. ^ Джиён, Ли (11.07.2009). "Кибератака потрясает Южную Корею". GlobalPost. Получено 2009-07-11.
  21. ^ а б Ким, Кван-Тэ (12.07.2009). «Южная Корея анализирует компьютеры, использованные в кибератаках». Ассошиэйтед Пресс. Архивировано из оригинал 16 июля 2009 г.. Получено 2009-07-12.
  22. ^ «За июльскими кибератаками стоит министерство Северной Кореи: шпион». Йонхап. 30 октября 2009 г.