Hired Guns vermutet in südkoreanischen Cyberattacken

2013-12-30  |  Comebuy News

Die Menschen hinter diesen Monat destruktive Cyberattacken gegen drei Banken und zwei Sender in Südkorea wahrscheinlich Mitarbeiter oder Söldner von einer einzigen Organisation waren, sagt eine Analyse der Angriffscode Sicherheitsanbieter.

Comebuy Verwandte Artikel: Symantec findet Linux Wischer Malware verwendet S. koreanische AttacksSouth Korea Bank Angriffe sollten prompt auf U.S.Symantec Website überdenken macht World Cup ScamsSerious Symantec antivirus Fehler FoundEXCLUSIVE verfügbar: CTO-Gruppe deren Namen Greg Sly geschäftsführender Gesellschafter

Darüber hinaus sagte Symantec Freitag, dass es eine Verbindung zwischen dem jüngsten Angriff und einem startete gegen USA und Südkoreas Regierungsinstitutionen 2011 gefunden. Der Link wurde im Code verwendet, um eine Hintertür öffnen oder Kommunikationskanal, das aktiviert den Kommando-und Kontroll-Server Dateien herunterladen und Anweisungen zu übertragen.

"Wir glauben, dass sie ähnlich sind, sind", sagte Satnam Narang, Manager von Symantec Security Response, der die Hintertüren, die in jedem der Anschläge verwendet.

Symantec glaubt, dass die Menschen hinter beide Angriffe nur Taten ihre Arbeit wegen backdoor den Pfad der Datei Verzeichnis führt, wo der Code, auf dem Datenträger im Computer des Schöpfers kompiliert wurde. Der Pfad enthalten "Z:\work," eine Angabe, die eine professionelle machte die Aufbereitung in einem Ordner arbeiten.

"Derjenige, der den Code in einem Ordner namens Arbeit zu setzen wahrscheinlich ein Profi, sondern als jemand der gerade tun es aus Gründen der dabei ist", sagte Narang. "Grundlage dieser denken wir jemand entweder bezahlt oder bestellt diese Angriffe entweder Ausführen als ein Unternehmer oder Angestellter. Das ist die Konsequenz."

Symantecs Analyse des Angriffs Codes noch nichts endgültig zu produzieren. Vielmehr die Fakten aufgedeckt darstellen Gehversuche in einer Untersuchung, die über Monate oder vielleicht Jahre reichen könnten.

(Siehe auch: neues US-Gesetz verschärft Schrauben am chinesischen Cyberespionage)

Die Angriff, berichtete letzte Woche beteiligt Malware, die den master Bootrecord auf der Festplatte, wodurch das infizierte System zum Absturz und nicht in der Lage zu drehen zerstört man zurück.

Shinhan Bank, Südkoreas viertgrößte, berichtet, dass seine Internet-Banking-Server vorübergehend blockiert wurden, während zwei andere Banken, NongHyup und Jeju, sagte, dass Computer in einigen Filialen für ein paar Stunden gelähmt waren. Mitarbeiter des Landes zwei führenden Fernsehsender, Korean Broadcasting Systems und MBC, blieben starrte auf leeren Bildschirmen zwar weiterhin normale Sendungen.

In den letzten vier Jahren gab drei große Cyberattacken in Südkorea, Symantec, sagte. Der Angriff im Jahr 2009 und 2011 war verteilten Denial of Service (DDoS) Angriff.

Wie konnte im Jahr 2013, die Malware verwendet, um den Angriff im März 2011, genannt Koredos von Symantec, starten auch überschreiben bestimmter Dateitypen und den MBR zu zerstören. In einer Koredos-infizierten Maschine Symantec gefunden eine Hintertür die Firma Prioxer, basiert auf öffentlich zugänglichen Code aufruft.

Symantec wurde anders als die Malware und backdoor wird auf dem gleichen System nicht in der Lage, eine direkte Verbindung zwischen den beiden Codezeilen zu zeichnen. Prioxer war jedoch bei dem Anschlag 2013 verwendet, da die Packer die Daten abwischen Malware Symantec Aufrufe Jokra ähnelte. Ein Packer sagte Code, die Malware zu analysieren erschweren ein Hacker umfließt, Narang.

Die Angreifer in den jüngsten Angriffen verwendet gestohlenen IDs und Kennwörter für eine Patch-Manager-Software, um die Malware auf PCs in der Opfer-Einrichtungen zu verteilen. Zwar es keinen Beweis gibt, wird Nordkorea oder einem anderen Staat verdächtigt, hinter dem Angriff wegen seiner Raffinesse.

Lesen Sie mehr über Malware/Cybercrime CSOonlines Malware/Cybercrime-Abschnitt.

« Back