Ciberataque en Corea del Sur en 2013

Supuesto ataque cibernético contra Corea del Sur

En 2013, hubo dos importantes series de ciberataques contra objetivos surcoreanos atribuidos a elementos dentro de Corea del Norte.

Marzo

El 20 de marzo de 2013, seis organizaciones surcoreanas sufrieron un supuesto ataque cibernético . ^[1] Las organizaciones incluían tres empresas de medios ( KBS , MBC y YTN ) y tres instituciones financieras ( The National Agricultural Cooperative Federation , Shinhan Bank y Jeju Bank). El organismo de control de las comunicaciones de Corea del Sur, la Comisión de Comunicaciones de Corea, elevó su nivel de alerta sobre ciberataques a tres en una escala de cinco. Corea del Norte ha sido culpada de ataques similares en 2009 y 2011 y se sospechaba que también lanzó este ataque. Este ataque también se produjo en un período de tensiones elevadas entre las dos Coreas, tras la prueba nuclear de Pyongyang el 12 de febrero. ^[2] Los funcionarios surcoreanos vincularon el incidente a una dirección IP china , lo que aumentó las sospechas sobre Corea del Norte ya que "[l]os expertos en inteligencia creen que Corea del Norte utiliza rutinariamente direcciones de computadora chinas para ocultar sus ciberataques". ^[3] Más tarde se reveló que la dirección IP no se originó en China sino en la red interna de una de las organizaciones atacadas. ^[4]

Los ataques a las seis organizaciones se originaron en una sola entidad. Las redes fueron atacadas por códigos maliciosos, en lugar de ataques distribuidos de denegación de servicio (DDoS) como se sospechaba al principio. Al parecer, solo se utilizaron sobrescrituras de discos duros. ^[5] Este ciberataque “dañó 32.000 computadoras y servidores de empresas de medios de comunicación y financieras”. ^[6] La Comisión de Servicios Financieros de Corea del Sur dijo que Shinhan Bank informó que sus servidores de banca por Internet habían sido bloqueados temporalmente y que Jeju Bank  [ko] y NongHyup informaron que las operaciones en algunas de sus sucursales habían sido paralizadas después de que las computadoras se infectaran con virus y sus archivos se borraran. Woori Bank informó de un ataque de piratería, pero dijo que no había sufrido daños. ^[7]

Este ciberataque “causó daños económicos por valor de 750 millones de dólares estadounidenses” (Feakin, 2013) ^[8] . Además, “la frecuencia de los ciberataques de Corea del Norte y las actividades desenfrenadas de ciberespionaje atribuidas a China son motivo de gran preocupación para el gobierno de Corea del Sur (Lewis, 2013)” ^{[9] .}

Junio

El ciberterrorismo del 25 de junio es una filtración de información que ocurrió el 25 de junio de 2013, que tuvo como objetivo Cheongwadae y otras instituciones. El hacker que causó este incidente admitió que la información de 2,5 millones de miembros del Partido Saenuri , 300 mil soldados, 100 mil usuarios de la página de inicio de Cheongwadae y 40 mil miembros de las Fuerzas de los Estados Unidos en Corea . Hubo aparentes ataques de piratería en sitios web gubernamentales . El incidente ocurrió en el 63 aniversario del inicio de la Guerra de Corea de 1950-53 , que fue una guerra que dividió la península de Corea . Desde que el sitio web de la Casa Azul fue pirateado, la información personal de un total de 220.000 personas, incluidos 100.000 ciudadanos comunes y 20.000 militares, que usaban el sitio web " Cheong Wa Dae " fueron pirateados. ^{[10] [ fuente no confiable ]} El sitio web de la oficina de Coordinación de Políticas Gubernamentales y algunos servidores de medios también fueron afectados.

Aunque varios ataques fueron organizados por varios perpetradores, uno de los ataques de denegación de servicio distribuido (DDoS) contra los sitios web del gobierno de Corea del Sur estaba directamente vinculado a la banda "DarkSeoul" y Trojan.Castov. ^[11] El malware relacionado con el ataque se llama "DarkSeoul" en el mundo de la informática y fue identificado por primera vez en 2012. Ha contribuido a múltiples ataques anteriores de alto perfil contra Corea del Sur.

Cronología

El 25 de junio de 2013, aproximadamente a las 9:10 a. m., sitios web como el sitio web de Cheongwadae, los sitios web de los principales institutos gubernamentales, noticias, etc., fueron víctimas de cambios en el sitio web, DDoS , robo de información y otros ataques similares. Al conectarse a la página de inicio de Cheongwadae, aparecían palabras como "El gran gobernador Kim Jong-un " y "¡Todos saluden al presidente unificado Kim Jong-un! Hasta que se cumplan nuestras demandas, nuestros ataques continuarán. Salúdennos. Somos anónimos" junto con una foto de la presidenta Park Geun-hye .

El gobierno cambió el estatus de peligro cibernético a “digno de mención” el 25 de junio a las 10:45 a. m., y luego lo cambió a “advertencia” a las 3:40 p. m. ^[12] Cheongwadae publicó una disculpa el 28 de junio. ^[13]

El Ministerio de Ciencia, TIC y Planificación Futura reveló el 16 de julio que los incidentes de marzo y junio correspondían a métodos de piratería anteriores utilizados por Corea del Norte . ^[14] Sin embargo, los objetivos atacados incluyen un sitio de la Agencia Central de Noticias Coreana Japonesa y los principales sitios web anti-Sur de Corea del Norte, y los piratas informáticos también han anunciado que publicarían información de aproximadamente 20 oficiales de alto rango del ejército norcoreano con innumerables piezas de información sobre el armamento norcoreano.

Respuesta

Tras el ataque informático de junio, se especuló aún más que Corea del Norte era responsable de los ataques. Los investigadores descubrieron que “una dirección IP utilizada en el ataque coincidía con otra utilizada en intentos de piratería informáticos anteriores por parte de Pyongyang ”. ^[15] Park Jae-moon, ex director general del Ministerio de Ciencia, TIC y Planificación del Futuro, dijo que “82 códigos malignos [recogidos de los dispositivos dañados] y direcciones de Internet utilizadas para el ataque, así como los patrones de piratería informático anteriores de Corea del Norte”, demostraron que “los métodos de piratería eran los mismos” que los utilizados en los ataques informáticos del 20 de marzo. ^[16]

Con este incidente, el gobierno coreano anunció públicamente que se haría cargo de la “Torre de Control de Respuesta al Terrorismo Cibernético” y, junto con diferentes ministerios, el Servicio de Inteligencia Nacional (NIS) será responsable de construir un sistema de respuesta integral utilizando las “Medidas Nacionales de Seguridad Cibernética”. ^[17]

El gobierno de Corea del Sur afirmó que Pyongyang tenía un vínculo con los ciberataques de marzo , algo que Pyongyang ha negado. ^[18] Se sospecha que un hombre surcoreano de 50 años identificado como el Sr. Kim está involucrado en el ataque. ^[19]

Aparición en la revista National Geographic de Corea del Sur

La revista National Geographic de Corea del Sur publicó el ciberterrorismo como una de las 10 palabras clave más importantes de 2013 debido a estos ataques. ^[20]

Medidas

• El gobierno formó un cuartel general conjunto civil, gubernamental y militar para la respuesta a las crisis cibernéticas. ^[21]
• Empresas de seguridad como AhnLab y Hauri están implementando actualizaciones de emergencia o distribuyendo vacunas dedicadas a detectar malware que causa problemas en sus productos. El diagnóstico que cada empresa ha dado es el siguiente.
• AhnLab - Win-Trojan/Agent.24576.JPF (JPG, JPH), Cuentagotas/Borrador.427520 ^[22]
• INCA Internet - ApcRunCmd.exe: Trojan/W32.Agent.24576.EAN / Othdown.exe: Trojan/W32.Agent.24576.EAO ^[23]
• Hauri - ApcRunCmd.exe: Trojan.Win32.U.KillMBR.24576 / Othdown.exe: Trojan.Win32.U.KillMBR.24576.A
• Symantec - Trojan.Jokra[23]
• Sophos - Mal/EncPk-ACE (también conocido como "DarkSeoul")

Véase también

• Ataques DDoS de 2009 contra Corea del Sur
• Oficina 121
• Grupo Lázaro

Referencias

1. "Corea del Sur en alerta por ciberataques tras caída de una importante red". The Guardian . 20 de marzo de 2013 . Consultado el 31 de enero de 2023 .
2. "Ataque cibernético afecta sitios web de Corea del Sur". 2013-06-25 . Consultado el 2019-09-25 .
3. "Vínculo entre dirección IP de China y ciberataque de Corea del Sur". BBC . 21 de marzo de 2013 . Consultado el 12 de septiembre de 2016 .
4. "韓国のサイバー攻撃、アクセス元は社内のプライベートIPアドレス". ＠IT (en japonés) . Consultado el 5 de mayo de 2023 .
5. "¿Están relacionados los ciberataques de Corea del Sur de 2011 y 2013?". Respuesta de seguridad de Symantec . Archivado desde el original el 1 de abril de 2013. Consultado el 25 de septiembre de 2019 .
6. Michael Pearson; KJ Kwon; Jethro Mullen (20 de marzo de 2013). "Ataque de piratería informática en Corea del Sur rastreado hasta China". CNN . Consultado el 25 de septiembre de 2019 .
7. Choe Sang-Hun, "Las redes informáticas en Corea del Sur están paralizadas por los ciberataques", The New York Times , 20 de marzo de 2013.
8. "Roles de Australia, Canadá y Corea del Sur". Seguridad mutua en Asia y el Pacífico: roles de Australia, Canadá y Corea del Sur . McGill-Queen's University Press. 2015. JSTOR  j.ctt1jktr6v.
9. "Roles de Australia, Canadá y Corea del Sur". Seguridad mutua en Asia y el Pacífico: roles de Australia, Canadá y Corea del Sur . McGill-Queen's University Press. 2015. JSTOR  j.ctt1jktr6v.
10. "북한의 사이버 공격과 우리의 사이버 안보 상황". Blog de Naver | 통일부 공식 블로그 (en coreano) . Consultado el 25 de septiembre de 2019 .
11. "Cuatro años de ciberataques de DarkSeoul contra Corea del Sur continúan en el aniversario de la Guerra de Corea". Respuesta de seguridad de Symantec . Consultado el 25 de septiembre de 2019 .
12. 홍, 재원; 박, 홍두 (25 de junio de 2013). "'6·25 사이버 테러' 남도 북도 같은 날 당했다". Kyunghyang Shinmun (en coreano) . Consultado el 31 de enero de 2023 .
13. "10만건 개인정보유출 사실로 드러나.... 청와대, 사과문 공지". www.ddaily.co.kr (en coreano) . Consultado el 31 de enero de 2023 .
14. "[속보]정부 "6 · 25 사이버공격 북한 소행"". Kyunghyang Shinmun (en coreano). 2013-07-16 . Consultado el 31 de enero de 2023 .
15. "Corea del Norte 'detrás de un ataque informático'". 2013-07-16 . Consultado el 2019-09-25 .
16. 권, 혜진 (16 de julio de 2013). ""'6·25 사이버공격'도 북한 소행 추정"(종합)". Agencia de Noticias Yonhap (en coreano) . Consultado el 25 de septiembre de 2019 .
17. "보도자료 (과학기술정보통신부) | 과학기술정보통신부". www.msit.go.kr. ​Consultado el 25 de septiembre de 2019 .
18. Lee Minji (10 de abril de 2013). "(2nd LD) Gov't confirms Pyongyang link in March cyber attack" (El gobierno confirma el vínculo de Pyongyang con los ciberataques de marzo). Yonhap News . Consultado el 7 de septiembre de 2016 .
19. Jeyup S. Kwaak (31 de julio de 2013). "Seúl sospecha que un ejecutivo tecnológico surcoreano está ayudando a Corea del Norte en ciberataques". The Wall Street Journal . Consultado el 3 de agosto de 2013 .
20. 내셔널지오그래픽채널, '2013년 10대 키워드' 경향신문, 2013년 12월 12일
21. "朴대통령 전산망마비 '조속복구' 지시… 범정부팀 가동". 연합뉴스 (en coreano). 20 de marzo de 2013.
22. "AhnLab". www.ahnlab.com (en coreano).
23. "[잉카인터넷 대응팀] [긴급대응]언론사 방송국, 금융사이트 부팅 불가 사고 발생 [#Actualización 2013. 2. 5. 03]". erteam.nprotect.com . Archivado desde el original el 25 de marzo de 2013.