Jump to content

DDoS-атаки на Южную Корею в 2009 г.

(Перенаправлено из кибератак в июле 2009 г. )

Кибератаки в июле 2009 года представляли собой серию скоординированных кибератак против крупных правительственных, новостных и финансовых веб-сайтов в Южной Корее и США . [1] Атаки включали активацию ботнета большого количества захваченных компьютеров, — который злонамеренно получал доступ к целевым веб-сайтам с намерением вызвать перегрузку их серверов из-за притока трафика, известного как DDoS -атака. [1] Большинство угнанных компьютеров находились в Южной Корее. [2] Предполагаемое количество захваченных компьютеров сильно различается; около 20 000 по данным Национальной разведывательной службы Южной Кореи , около 50 000 по данным группы Symantec Security Technology Response group, [3] и более 166 000, по данным вьетнамского исследователя компьютерной безопасности, который проанализировал файлы журналов двух серверов, контролируемых злоумышленниками. [4] Расследование показало, что по меньшей мере 39 веб-сайтов стали объектами атак, основанных на файлах, хранящихся в скомпрометированных системах. [5] [6]

Направление и время атак, которые начались в тот же день, что и северокорейские испытания баллистической ракеты малой дальности, привели к предположениям о том, что они могут быть совершены Северной Кореей , хотя эти предположения не были подтверждены. [7] [8] [9] Позже исследователи обнаружили связь между этими кибератаками, атаками DarkSeoul в 2013 году и другими атаками, приписываемыми Lazarus Group . [10] Некоторые считают, что эта атака стала началом серии DDoS-атак, проводимых Lazarus и получивших название «Операция Троя». [11]

Хронология атак [ править ]

Первая волна [ править ]

Первая волна атак произошла 4 июля 2009 года ( праздник Дня независимости в США ), нацеленная как на США , так и на Южную Корею . Среди затронутых веб-сайтов были веб-сайты Белого дома , Пентагона , Нью-Йоркской фондовой биржи , Washington Post , NASDAQ и Amazon . [1] [12]

Вторая волна [ править ]

Вторая волна атак произошла 7 июля 2009 года и затронула Южную Корею. В число атакованных веб-сайтов входили президентский Голубой дом , Министерство обороны , Министерство государственного управления и безопасности , Национальная разведывательная служба и Национальное собрание . [7] [13] [12] Исследователь безопасности Крис Кубека представил доказательства того, что несколько компаний Европейского Союза и Великобритании невольно помогли атаковать Южную Корею из-за заражения W32.Dozer , вредоносного ПО, использованного в части атаки. Некоторые из компаний, использованных в атаке, частично принадлежали правительствам нескольких стран, что еще больше усложняет установление авторства. [14]

Визуализация кибератак против Южной Кореи в 2009 году

Третья волна [ править ]

страны Третья волна атак началась 9 июля 2009 года и была нацелена на несколько веб-сайтов Южной Кореи, включая Национальную разведывательную службу , а также один из ее крупнейших банков и крупное информационное агентство. [1] [15] Госдепартамент США заявил 9 июля, что его сайт также подвергся атаке. [16] Представитель Госдепартамента Ян Келли заявил: «Я просто собираюсь поговорить о нашем веб-сайте, веб-сайте правительства штата. Количество атак невелико. Но мы все еще обеспокоены этим. Они продолжаются». [16] Представитель Министерства внутренней безопасности США Эми Кудва заявила, что ведомству известно о нападениях и что оно направило федеральным департаментам и агентствам уведомление с просьбой принять меры по смягчению последствий атак. [5]

Эффекты [ править ]

Несмотря на то, что атаки были нацелены на крупные веб-сайты государственного и частного сектора, в администрации президента Южной Кореи предположили, что атаки проводились с целью вызвать сбой, а не украсть данные. [17] Однако Хосе Назарио, менеджер американской фирмы по обеспечению сетевой безопасности, заявил, что, по оценкам, в результате атаки было передано всего 23 мегабита данных в секунду, чего недостаточно, чтобы вызвать серьезные сбои. [5] При этом веб-сайты сообщали о перебоях в обслуживании в течение нескольких дней после атаки. [8]

Позже выяснилось, что вредоносный код, ответственный за атаку, Trojan.Dozer и сопутствующий ему дроппер W32.Dozer, был запрограммирован на уничтожение данных на зараженных компьютерах и предотвращение перезагрузки компьютеров. [3] Неясно, был ли когда-либо активирован этот механизм. Эксперты по безопасности заявили, что в ходе атаки повторно использовался код червя Mydoom для распространения инфекции между компьютерами. [3] [6] Эксперты также отметили, что вредоносное ПО, использованное в атаке, «не использовало сложных методов, позволяющих избежать обнаружения антивирусным программным обеспечением, и, похоже, не было написано кем-то, имеющим опыт написания вредоносного ПО». [6]

Ожидалось, что экономические издержки, связанные с отключением веб-сайтов, будут значительными, поскольку сбои не позволили людям осуществлять транзакции, покупать товары или вести бизнес. [18]

Преступники [ править ]

Неизвестно, кто стоит за нападениями. Отчеты показывают, что используемый тип атак, широко известный как распределенные атаки типа «отказ в обслуживании» , был простым. [9] [5] [19] Учитывая продолжительный характер атак, их рассматривают как более скоординированную и организованную серию атак. [8]

По данным Национальной разведывательной службы Южной Кореи, источник атак был установлен, и правительство задействовало группу экстренного реагирования на кибертерроризм, которая заблокировала доступ к пяти хост-сайтам, содержащим вредоносный код, и 86 веб-сайтам, загрузившим этот код, расположенным в 16 страны, включая США, Гватемалу , Японию и Китайскую Народную Республику , но Северная Корея в их число не входила. [20]

Время нападения заставило некоторых аналитиков с подозрением относиться к Северной Корее. Атака началась 4 июля 2009 года, в тот же день, когда Северная Корея запустила баллистическую ракету малой дальности, а также произошла менее чем через месяц после принятия резолюции 1874 Совета Безопасности ООН , которая ввела дополнительные экономические и коммерческие санкции против Северной Кореи. в ответ на подземные ядерные испытания, проведенные ранее в том же году.

Южнокорейская полиция проанализировала выборку тысяч компьютеров, используемых ботнетом, заявив, что существуют «различные доказательства» причастности Северной Кореи или «просеверных элементов», но заявила, что, возможно, не найдет виновника. [21] [18] Представители разведки правительства Южной Кореи предупредили законодателей, что «северокорейскому военному научно-исследовательскому институту было приказано уничтожить коммуникационные сети Юга». [21]

Джо Стюарт, исследователь подразделения Counter Threat Unit SecureWorks , отметил, что данные, сгенерированные атакующей программой, похоже, основаны на корейскоязычном браузере. [5]

Различные эксперты по безопасности подвергли сомнению версию о том, что атака произошла в Северной Корее. Один аналитик считает, что атаки, скорее всего, произошли из Соединенного Королевства, в то время как технологический аналитик Роб Эндерле предполагает, что в этом могут быть виноваты «чрезмерно активные студенты». [4] [18] Джо Стюарт из SecureWorks предположил, что атака была вызвана стремлением привлечь внимание, хотя он отмечает, что масштаб атаки был «необычным». [6]

30 октября 2009 года шпионское агентство Южной Кореи, Национальная разведывательная служба , назвало Северную Корею виновником нападения. По словам главы НИС Вон Сей Хуна , организация обнаружила связь между атаками и Северной Кореей через IP-адрес, который северокорейское министерство почты и телекоммуникаций предположительно «[использовало] в аренду (у Китая)». [22]

См. также [ править ]

Ссылки [ править ]

  1. ^ Jump up to: Перейти обратно: а б с д «Новые «кибератаки» поразили Южную Корею» . Новости Би-би-си . 09.07.2009 . Проверено 9 июля 2009 г.
  2. ^ Клэберн, Томас (10 июля 2009 г.). «Код кибератаки начинает убивать зараженные компьютеры» . Информационная неделя . Архивировано из оригинала 13 июля 2009 г. Проверено 10 июля 2009 г.
  3. ^ Jump up to: Перейти обратно: а б с Миллс, Элинор (10 июля 2009 г.). «Ботнет-червь в DOS-атаках может уничтожить данные на зараженных компьютерах» . Новости CNET . Архивировано из оригинала 29 июля 2009 г. Проверено 12 июля 2009 г.
  4. ^ Jump up to: Перейти обратно: а б Уильямс, Мартин (14 июля 2009 г.). «Великобритания, а не Северная Корея, является источником DDOS-атак, — говорит исследователь» . Служба новостей IDG. Архивировано из оригинала 15 июня 2011 г.
  5. ^ Jump up to: Перейти обратно: а б с д и Маркофф, Джон (9 июля 2009 г.). «Кибератаки мешают правительственным и коммерческим веб-сайтам в США и Южной Корее» . Нью-Йорк Таймс . Проверено 9 июля 2009 г.
  6. ^ Jump up to: Перейти обратно: а б с д Зеттер, Ким (8 июля 2009 г.). «Ленивый хакер и маленький червяк развязали безумие кибервойны» . Проводные новости . Проверено 9 июля 2009 г.
  7. ^ Jump up to: Перейти обратно: а б «Пхеньян обвинен в кибератаке на Южную Корею» . Файнэншл Таймс . 09.07.2009. Архивировано из оригинала 20 сентября 2014 г. Проверено 9 июля 2009 г.
  8. ^ Jump up to: Перейти обратно: а б с Ким, Хён Джин (8 июля 2009 г.). «Корейские и американские веб-сайты подверглись предполагаемой кибератаке» . Ассошиэйтед Пресс. Архивировано из оригинала 11 июля 2009 года . Проверено 9 июля 2009 г.
  9. ^ Jump up to: Перейти обратно: а б Макдевитт, Кейтлин (9 июля 2009 г.). «Последствия кибератаки» . Рейтер . Архивировано из оригинала 12 июля 2009 года . Проверено 9 июля 2009 г.
  10. ^ Зеттер, Ким (24 февраля 2016 г.). «Хакеры Sony устроили хаос за годы до того, как атаковали компанию» . Проводной . ISSN   1059-1028 . Проверено 14 декабря 2018 г.
  11. ^ Мартин, Дэвид (4 марта 2016 г.). «Прослеживание происхождения DarkSeoul» . Институт САНС .
  12. ^ Jump up to: Перейти обратно: а б «Правительства, пострадавшие от кибератаки» . Новости Би-би-си . 08 июля 2009 г. Проверено 9 июля 2009 г.
  13. ^ «Кибератаки поразили правительственные и коммерческие веб-сайты» . Foxreno.com. 08 июля 2009 г. Архивировано из оригинала 12 июля 2009 г. Проверено 9 июля 2009 г.
  14. ^ «28c3: Визуализация журнала безопасности с помощью механизма корреляции» . 29 декабря 2011 г. Архивировано из оригинала 21 декабря 2021 г. Проверено 4 ноября 2017 г.
  15. ^ «Официально: веб-сайты Южной Кореи подвергаются новой атаке» . Ассошиэйтед Пресс. 09.07.2009. Архивировано из оригинала 15 июля 2009 года . Проверено 9 июля 2009 г.
  16. ^ Jump up to: Перейти обратно: а б «Госдепартамент США четвертый день подвергается кибератаке» . АФП . 10 июля 2009 г. Архивировано из оригинала 9 апреля 2010 года.
  17. ^ «Администрация президента Южной Кореи заявляет, что хакерские атаки не причинили ущерба» . Синьхуа . 08 июля 2009 г. Архивировано из оригинала 13 июля 2009 года . Проверено 9 июля 2009 г.
  18. ^ Jump up to: Перейти обратно: а б с Хан, Джейн (9 июля 2009 г.). «Кибератака поражает Корею третий день» . Корея Таймс . Архивировано из оригинала 11 июля 2009 г. Проверено 9 июля 2009 г.
  19. ^ Арнольди, Бен (9 июля 2009 г.). «Кибератаки на США и Южную Корею сигнализируют о гневе, а не об опасности» . Христианский научный монитор .
  20. ^ Джиён, Ли (11 июля 2009 г.). «Кибератака потрясла Южную Корею» . ГлобалПост . Проверено 11 июля 2009 г.
  21. ^ Jump up to: Перейти обратно: а б Ким, Кван Тэ (12 июля 2009 г.). «Южная Корея анализирует компьютеры, использованные в кибератаках» . Ассошиэйтед Пресс. Архивировано из оригинала 16 июля 2009 года . Проверено 12 июля 2009 г.
  22. ^ «Министерство Северной Кореи стоит за июльскими кибератаками: руководитель шпионской службы» . Ёнхап . 30 октября 2009 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=2009_DDoS_attacks_against_South_Korea&oldid=1227746369"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: e1d80deb71489d3fa7ac4b4db3071c86__1717764240
URL1:https://arc.ask3.ru/arc/aa/e1/86/e1d80deb71489d3fa7ac4b4db3071c86.html
Заголовок, (Title) документа по адресу, URL1:
2009 DDoS attacks against South Korea - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)