Vídeo: A Guerra do Atum - O ataque chinês contra um navio brasileiro (Novembro 2024)
Parece que os recentes ataques cibernéticos contra bancos e redes de televisão sul-coreanos podem não ter se originado na China, disseram autoridades do país na sexta-feira.
"Fomos descuidados em nossos esforços para checar e checar três vezes", disse Lee Seung-won, funcionário da Comissão de Comunicações da Coreia, a repórteres na sexta-feira. "Agora faremos anúncios apenas se nossa evidência for certa", disse Lee.
Em 20 de março, as estações de televisão coreanas KBS, MBC e YTN, bem como as instituições bancárias Jeju, NongHyup e Shinhan foram infectadas com um malware que limpava dados de discos rígidos, tornando os sistemas inoperantes. O KCC havia dito anteriormente que um endereço IP chinês acessava o servidor de gerenciamento de atualizações no banco NongHyup para distribuir o malware "wiper", que apagava dados de cerca de 32.000 sistemas Windows, Unix e Linux nas seis organizações afetadas.
Parece que o KCC confundiu um endereço IP privado usado por um sistema NongHyup como um endereço IP chinês porque eles eram "coincidentemente" iguais, de acordo com o relatório da Associated Press. As autoridades apreenderam o disco rígido do sistema, mas ainda não está claro onde a infecção se originou.
"Ainda estamos rastreando alguns endereços IP duvidosos que são suspeitos de residir no exterior", disse Lee Jae-Il, vice-presidente da Agência de Internet e Segurança da Coréia, a repórteres.
A atribuição é difícil
Logo após o KCC alegar que o ataque se originou de um endereço IP na China, autoridades sul-coreanas acusaram a Coréia do Norte de estar por trás desta campanha. A Coréia do Sul acusou seu vizinho do norte de usar endereços IP chineses para atacar sites do governo e da indústria sul-coreanos em ataques anteriores.
No entanto, apenas um único endereço IP não é uma prova conclusiva, considerando que existem muitos outros grupos patrocinados pelo Estado e gangues de criminosos cibernéticos que usam servidores chineses para lançar ataques. Também existem muitas técnicas que os atacantes podem usar para ocultar suas atividades ou fazer parecer que estão vindo de algum outro lugar.
Esse erro do KCC, embora embaraçoso para o governo sul-coreano, destaca perfeitamente por que é tão difícil identificar as origens e os autores de um ataque cibernético. A atribuição de ataques pode ser "extremamente difícil", disse Lawrence Pingree, diretor de pesquisa da Gartner.
O desafio está no fato de que "a contra-inteligência pode ser usada na Internet, como falsificar IPs de origem, usar servidores proxy, usar botnets para realizar ataques fora de outros locais" e outros métodos, disse Pingree. Os desenvolvedores de malware podem usar mapas de teclado de idiomas diferentes, por exemplo.
"Um chinês americano ou europeu que entende chinês, mas desenvolve suas façanhas em seu país de origem, resultará em uma atribuição problemática ou impossível", disse Pingree.
Detalhes do Ataque
O ataque parece ter sido lançado usando vários vetores de ataque, e as autoridades lançaram uma investigação "multilateral" para identificar "todas as rotas de infiltração possíveis", de acordo com um relatório da Agência de Notícias Yonhap da Coréia do Sul. Lee, do KCC, descartou a possibilidade de o ataque ser de origem sul-coreana, mas se recusou a explicar o porquê.
Pelo menos um vetor parece ser uma campanha de spear phishing, que inclui um conta-gotas de malware, descobriram os pesquisadores da Trend Micro. Algumas organizações sul-coreanas receberam uma mensagem bancária de spam com um anexo de arquivo malicioso. Quando os usuários abriram o arquivo, o malware baixou outro malware, incluindo um limpador de registro mestre de inicialização do Windows e scripts bash direcionados a sistemas Unix e Linux conectados à rede, a partir de vários URLs.
Pesquisadores identificaram uma "bomba lógica" no limpador de MBR do Windows, que manteve o malware no estado "inativo" até 20 de março às 14h. No horário marcado, o malware ativou e executou seu código malicioso. Os relatórios dos bancos e estações de televisão confirmam que as interrupções começaram por volta das 14h daquele dia.
Na sexta-feira, os bancos Jeju e Shinhan haviam restaurado suas redes e o NongHyup ainda estava em andamento, mas os três estavam de volta online e funcionais. As estações de TV KBS, MBC e YTN haviam restaurado apenas 10% de seus sistemas e a recuperação total pode levar semanas. No entanto, as emissoras disseram que suas capacidades de transmissão nunca foram afetadas, disse o KCC.