DDoS-атаки на Южную Корею в 2009 г.

Кибератаки в июле 2009 года представляли собой серию скоординированных кибератак против крупных правительственных, новостных и финансовых веб-сайтов в Южной Корее и США . ^{[ 1 ]} Атаки включали активацию ботнета — большого количества захваченных компьютеров — который злонамеренно получал доступ к целевым веб-сайтам с намерением вызвать перегрузку их серверов из-за притока трафика, известного как DDoS -атака. ^{[ 1 ]} Большинство угнанных компьютеров находились в Южной Корее. ^{[ 2 ]} Предполагаемое количество захваченных компьютеров сильно различается; около 20 000 по данным Национальной разведывательной службы Южной Кореи , около 50 000 по данным группы Symantec Security Technology Response group, ^{[ 3 ]} и более 166 000, по данным вьетнамского исследователя компьютерной безопасности, который проанализировал файлы журналов двух серверов, контролируемых злоумышленниками. ^{[ 4 ]} Расследование показало, что по меньшей мере 39 веб-сайтов стали объектами атак, основанных на файлах, хранящихся в скомпрометированных системах. ^{[ 5 ]}^{[ 6 ]}

Направление и время атак, которые начались в тот же день, что и северокорейские испытания баллистических ракет малой дальности, привели к предположениям о том, что они могут быть совершены со стороны Северной Кореи , хотя эти предположения не были подтверждены. ^{[ 7 ]}^{[ 8 ]}^{[ 9 ]} Позже исследователи обнаружили связь между этими кибератаками, атаками DarkSeoul в 2013 году и другими атаками, приписываемыми Lazarus Group . ^{[ 10 ]} Некоторые считают, что эта атака стала началом серии DDoS-атак, проводимых Lazarus и получивших название «Операция Троя». ^{[ 11 ]}

Хронология атак

Первая волна

Первая волна атак произошла 4 июля 2009 года ( праздник Дня независимости в США ), нацеленная как на США , так и на Южную Корею . Среди затронутых веб-сайтов были веб-сайты Белого дома , Пентагона , Нью-Йоркской фондовой биржи , Washington Post , NASDAQ и Amazon . ^{[ 1 ]}^{[ 12 ]}

Вторая волна

Вторая волна атак произошла 7 июля 2009 года и затронула Южную Корею. Среди атакованных веб-сайтов были президентский Голубой дом , Министерство обороны , Министерство государственного управления и безопасности , Национальная разведывательная служба и Национальное собрание . ^{[ 7 ]}^{[ 13 ]}^{[ 12 ]} Исследователь безопасности Крис Кубека представил доказательства того, что несколько компаний Европейского Союза и Великобритании невольно помогли атаковать Южную Корею из-за заражения W32.Dozer , вредоносного ПО, использованного в части атаки. Некоторые из компаний, использованных в атаке, частично принадлежали правительствам нескольких стран, что еще больше усложняет установление авторства. ^{[ 14 ]}

Третья волна

страны Третья волна атак началась 9 июля 2009 года и была нацелена на несколько веб-сайтов Южной Кореи, включая Национальную разведывательную службу , а также один из ее крупнейших банков и крупное информационное агентство. ^{[ 1 ]}^{[ 15 ]} Госдепартамент США заявил 9 июля, что его сайт также подвергся атаке. ^{[ 16 ]} Представитель Госдепартамента Ян Келли заявил: «Я просто собираюсь поговорить о нашем веб-сайте, веб-сайте правительства штата. Количество атак невелико. Но мы все еще обеспокоены этим. Они продолжаются». ^{[ 16 ]} Представитель Министерства внутренней безопасности США Эми Кудва заявила, что ведомству известно о нападениях и что оно направило федеральным департаментам и агентствам уведомление с просьбой принять меры по смягчению последствий атак. ^{[ 5 ]}

Эффекты

Несмотря на то, что атаки были нацелены на крупные веб-сайты государственного и частного сектора, в администрации президента Южной Кореи предположили, что атаки проводились с целью вызвать сбой, а не украсть данные. ^{[ 17 ]} Однако Хосе Назарио, менеджер американской фирмы по сетевой безопасности, заявил, что, по оценкам, в результате атаки было передано всего 23 мегабита данных в секунду, чего недостаточно, чтобы вызвать серьезные сбои. ^{[ 5 ]} При этом веб-сайты сообщали о перебоях в обслуживании в течение нескольких дней после атаки. ^{[ 8 ]}

Позже выяснилось, что вредоносный код, ответственный за атаку, Trojan.Dozer и сопровождающий его дроппер W32.Dozer были запрограммированы на уничтожение данных на зараженных компьютерах и предотвращение перезагрузки компьютеров. ^{[ 3 ]} Неясно, был ли когда-либо активирован этот механизм. Эксперты по безопасности заявили, что в ходе атаки повторно использовался код червя Mydoom для распространения инфекции между компьютерами. ^{[ 3 ]}^{[ 6 ]} Эксперты также сообщили, что вредоносное ПО, использованное в атаке, «не использовало сложных методов, позволяющих избежать обнаружения антивирусным программным обеспечением, и, похоже, не было написано кем-то, имеющим опыт написания вредоносного ПО». ^{[ 6 ]}

Ожидалось, что экономические издержки, связанные с отключением веб-сайтов, будут большими, поскольку сбои не позволили людям осуществлять транзакции, покупать товары или вести бизнес. ^{[ 18 ]}

Преступники

Неизвестно, кто стоит за нападениями. Отчеты показывают, что используемый тип атак, широко известный как распределенные атаки типа «отказ в обслуживании» , был простым. ^{[ 9 ]}^{[ 5 ]}^{[ 19 ]} Учитывая продолжительный характер атак, их рассматривают как более скоординированную и организованную серию атак. ^{[ 8 ]}

По данным Национальной разведывательной службы Южной Кореи, источник атак был установлен, и правительство задействовало группу экстренного реагирования на кибертеррор, которая заблокировала доступ к пяти хост-сайтам, содержащим вредоносный код, и 86 веб-сайтам, которые загрузили код, расположенным в 16 страны, включая США, Гватемалу , Японию и Китайскую Народную Республику , но Северная Корея в их число не входила. ^{[ 20 ]}

Время нападения заставило некоторых аналитиков с подозрением относиться к Северной Корее. Атака началась 4 июля 2009 года, в тот же день, когда Северная Корея запустила баллистическую ракету малой дальности, а также произошла менее чем через месяц после принятия резолюции 1874 Совета Безопасности ООН , которая ввела дополнительные экономические и коммерческие санкции против Северной Кореи. в ответ на подземные ядерные испытания, проведенные ранее в том же году.

Южнокорейская полиция проанализировала выборку тысяч компьютеров, используемых ботнетом, заявив, что существуют «различные доказательства» причастности Северной Кореи или «просеверных элементов», но заявила, что, возможно, не найдет виновника. ^{[ 21 ]}^{[ 18 ]} Представители разведки правительства Южной Кореи предупредили законодателей, что «северокорейскому военному научно-исследовательскому институту было приказано уничтожить коммуникационные сети Юга». ^{[ 21 ]}

Джо Стюарт, исследователь подразделения Counter Threat Unit SecureWorks , отметил, что данные, сгенерированные атакующей программой, похоже, основаны на корейскоязычном браузере. ^{[ 5 ]}

Различные эксперты по безопасности подвергли сомнению версию о том, что атака произошла в Северной Корее. Один аналитик считает, что атаки, скорее всего, произошли из Соединенного Королевства, в то время как технологический аналитик Роб Эндерле предполагает, что в этом могут быть виноваты «чрезмерно активные студенты». ^{[ 4 ]}^{[ 18 ]} Джо Стюарт из SecureWorks предположил, что атака была вызвана стремлением привлечь внимание, хотя он отмечает, что масштаб атаки был «необычным». ^{[ 6 ]}

30 октября 2009 года шпионское агентство Южной Кореи Национальная разведывательная служба назвало Северную Корею виновником нападения. По словам главы НИС Вон Сей Хуна , организация обнаружила связь между атаками и Северной Кореей через IP-адрес, который северокорейское министерство почты и телекоммуникаций предположительно «[использовало] в аренду (у Китая)». ^{[ 22 ]}

См. также

Ссылки

^ Jump up to: ^а ^б ^с ^д «Новые «кибератаки» поразили Южную Корею» . Новости Би-би-си . 09.07.2009 . Проверено 9 июля 2009 г.
^ Клэберн, Томас (10 июля 2009 г.). «Код кибератаки начинает убивать зараженные компьютеры» . Информационная неделя . Архивировано из оригинала 13 июля 2009 г. Проверено 10 июля 2009 г.
^ Jump up to: ^а ^б ^с Миллс, Элинор (10 июля 2009 г.). «Ботнет-червь в DOS-атаках может уничтожить данные на зараженных компьютерах» . Новости CNET . Архивировано из оригинала 29 июля 2009 г. Проверено 12 июля 2009 г.
^ Jump up to: ^а ^б Уильямс, Мартин (14 июля 2009 г.). «Великобритания, а не Северная Корея, является источником DDOS-атак, — говорит исследователь» . Служба новостей IDG. Архивировано из оригинала 15 июня 2011 г.
^ Jump up to: ^а ^б ^с ^д ^и Маркофф, Джон (9 июля 2009 г.). «Кибератаки мешают правительственным и коммерческим веб-сайтам в США и Южной Корее» . Нью-Йорк Таймс . Проверено 9 июля 2009 г.
^ Jump up to: ^а ^б ^с ^д Зеттер, Ким (8 июля 2009 г.). «Ленивый хакер и маленький червяк развязали безумие кибервойны» . Проводные новости . Проверено 9 июля 2009 г.
^ Jump up to: ^а ^б «Пхеньян обвинен в кибератаке на Южную Корею» . Файнэншл Таймс . 09.07.2009. Архивировано из оригинала 20 сентября 2014 г. Проверено 9 июля 2009 г.
^ Jump up to: ^а ^б ^с Ким, Хён Джин (8 июля 2009 г.). «Корейские и американские веб-сайты подверглись предполагаемой кибератаке» . Ассошиэйтед Пресс. Архивировано из оригинала 11 июля 2009 года . Проверено 9 июля 2009 г.
^ Jump up to: ^а ^б Макдевитт, Кейтлин (9 июля 2009 г.). «Последствия кибератаки» . Рейтер . Архивировано из оригинала 12 июля 2009 года . Проверено 9 июля 2009 г.
^ Зеттер, Ким (24 февраля 2016 г.). «Хакеры Sony устроили хаос за годы до того, как атаковали компанию» . Проводной . ISSN 1059-1028 . Проверено 14 декабря 2018 г.
^ Мартин, Дэвид (4 марта 2016 г.). «Прослеживание происхождения DarkSeoul» . Институт САНС .
^ Jump up to: ^а ^б «Правительства, пострадавшие от кибератаки» . Новости Би-би-си . 08 июля 2009 г. Проверено 9 июля 2009 г.
^ «Кибератаки поразили правительственные и коммерческие веб-сайты» . Foxreno.com. 08 июля 2009 г. Архивировано из оригинала 12 июля 2009 г. Проверено 9 июля 2009 г.
^ «28c3: Визуализация журнала безопасности с помощью механизма корреляции» . 29 декабря 2011 г. Архивировано из оригинала 21 декабря 2021 г. Проверено 4 ноября 2017 г.
^ «Официально: веб-сайты Южной Кореи подвергаются новой атаке» . Ассошиэйтед Пресс. 09.07.2009. Архивировано из оригинала 15 июля 2009 года . Проверено 9 июля 2009 г.
^ Jump up to: ^а ^б «Госдепартамент США четвертый день подвергается кибератаке» . АФП . 10 июля 2009 г. Архивировано из оригинала 9 апреля 2010 года.
^ «Администрация президента Южной Кореи заявляет, что хакерские атаки не причинили ущерба» . Синьхуа . 08 июля 2009 г. Архивировано из оригинала 13 июля 2009 года . Проверено 9 июля 2009 г.
^ Jump up to: ^а ^б ^с Хан, Джейн (9 июля 2009 г.). «Кибератака поражает Корею третий день» . Корея Таймс . Архивировано из оригинала 11 июля 2009 г. Проверено 9 июля 2009 г.
^ Арнольди, Бен (9 июля 2009 г.). «Кибератаки на США и Южную Корею сигнализируют о гневе, а не об опасности» . Христианский научный монитор .
^ Джиён, Ли (11 июля 2009 г.). «Кибератака потрясла Южную Корею» . ГлобалПост . Проверено 11 июля 2009 г.
^ Jump up to: ^а ^б Ким, Кван Тэ (12 июля 2009 г.). «Южная Корея анализирует компьютеры, использованные в кибератаках» . Ассошиэйтед Пресс. Архивировано из оригинала 16 июля 2009 года . Проверено 12 июля 2009 г.
^ «Министерство Северной Кореи стоит за июльскими кибератаками: руководитель шпионской службы» . Ёнхап . 30 октября 2009 г.

[New_'cyberattacks'_hit_S_Korea-1] Jump up to: ^а ^б ^с ^д «Новые «кибератаки» поразили Южную Корею» . Новости Би-би-си . 09.07.2009 . Проверено 9 июля 2009 г.

[informationweek-2] Клэберн, Томас (10 июля 2009 г.). «Код кибератаки начинает убивать зараженные компьютеры» . Информационная неделя . Архивировано из оригинала 13 июля 2009 г. Проверено 10 июля 2009 г.

[:0-3] Jump up to: ^а ^б ^с Миллс, Элинор (10 июля 2009 г.). «Ботнет-червь в DOS-атаках может уничтожить данные на зараженных компьютерах» . Новости CNET . Архивировано из оригинала 29 июля 2009 г. Проверено 12 июля 2009 г.

[UK,_not_North_Korea,_source_of_DDOS_attacks,_researcher_says-4] Jump up to: ^а ^б Уильямс, Мартин (14 июля 2009 г.). «Великобритания, а не Северная Корея, является источником DDOS-атак, — говорит исследователь» . Служба новостей IDG. Архивировано из оригинала 15 июня 2011 г.

[Cyberattacks_Jam_Government_and_Commercial_Web_Sites_in_U.S._and_South_Korea-5] Jump up to: ^а ^б ^с ^д ^и Маркофф, Джон (9 июля 2009 г.). «Кибератаки мешают правительственным и коммерческим веб-сайтам в США и Южной Корее» . Нью-Йорк Таймс . Проверено 9 июля 2009 г.

[Lazy_Hacker_and_Little_Worm_Set_Off_Cyberwar_Frenzy-6] Jump up to: ^а ^б ^с ^д Зеттер, Ким (8 июля 2009 г.). «Ленивый хакер и маленький червяк развязали безумие кибервойны» . Проводные новости . Проверено 9 июля 2009 г.

[Pyongyang_blamed_as_cyberattack_hits_S_Korea-7] Jump up to: ^а ^б «Пхеньян обвинен в кибератаке на Южную Корею» . Файнэншл Таймс . 09.07.2009. Архивировано из оригинала 20 сентября 2014 г. Проверено 9 июля 2009 г.

[Korean,_US_Web_sites_hit_by_suspected_cyberattack-8] Jump up to: ^а ^б ^с Ким, Хён Джин (8 июля 2009 г.). «Корейские и американские веб-сайты подверглись предполагаемой кибератаке» . Ассошиэйтед Пресс. Архивировано из оригинала 11 июля 2009 года . Проверено 9 июля 2009 г.

[Cyberattack_Aftermath-9] Jump up to: ^а ^б Макдевитт, Кейтлин (9 июля 2009 г.). «Последствия кибератаки» . Рейтер . Архивировано из оригинала 12 июля 2009 года . Проверено 9 июля 2009 г.

[10] Зеттер, Ким (24 февраля 2016 г.). «Хакеры Sony устроили хаос за годы до того, как атаковали компанию» . Проводной . ISSN 1059-1028 . Проверено 14 декабря 2018 г.

[11] Мартин, Дэвид (4 марта 2016 г.). «Прослеживание происхождения DarkSeoul» . Институт САНС .

[:1-12] Jump up to: ^а ^б «Правительства, пострадавшие от кибератаки» . Новости Би-би-си . 08 июля 2009 г. Проверено 9 июля 2009 г.

[13] «Кибератаки поразили правительственные и коммерческие веб-сайты» . Foxreno.com. 08 июля 2009 г. Архивировано из оригинала 12 июля 2009 г. Проверено 9 июля 2009 г.

[14] «28c3: Визуализация журнала безопасности с помощью механизма корреляции» . 29 декабря 2011 г. Архивировано из оригинала 21 декабря 2021 г. Проверено 4 ноября 2017 г.

[15] «Официально: веб-сайты Южной Кореи подвергаются новой атаке» . Ассошиэйтед Пресс. 09.07.2009. Архивировано из оригинала 15 июля 2009 года . Проверено 9 июля 2009 г.

[US_State_Department_under_cyberattack_for_fourth_day-16] Jump up to: ^а ^б «Госдепартамент США четвертый день подвергается кибератаке» . АФП . 10 июля 2009 г. Архивировано из оригинала 9 апреля 2010 года.

[17] «Администрация президента Южной Кореи заявляет, что хакерские атаки не причинили ущерба» . Синьхуа . 08 июля 2009 г. Архивировано из оригинала 13 июля 2009 года . Проверено 9 июля 2009 г.

[:2-18] Jump up to: ^а ^б ^с Хан, Джейн (9 июля 2009 г.). «Кибератака поражает Корею третий день» . Корея Таймс . Архивировано из оригинала 11 июля 2009 г. Проверено 9 июля 2009 г.

[Cyberattacks_against_US,_S._Korea_signal_anger_–_not_danger-19] Арнольди, Бен (9 июля 2009 г.). «Кибератаки на США и Южную Корею сигнализируют о гневе, а не об опасности» . Христианский научный монитор .

[GP-20] Джиён, Ли (11 июля 2009 г.). «Кибератака потрясла Южную Корею» . ГлобалПост . Проверено 11 июля 2009 г.

[S._Korea_analyzes_computers_used_in_cyberattacks-21] Jump up to: ^а ^б Ким, Кван Тэ (12 июля 2009 г.). «Южная Корея анализирует компьютеры, использованные в кибератаках» . Ассошиэйтед Пресс. Архивировано из оригинала 16 июля 2009 года . Проверено 12 июля 2009 г.

[22] «Министерство Северной Кореи стоит за июльскими кибератаками: руководитель шпионской службы» . Ёнхап . 30 октября 2009 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]