2013 ciberataque en Corea del Sur

Presunto ataque de guerra cibernética a Corea del Sur

En 2013, hubo dos conjuntos importantes de ataques cibernéticos contra objetivos surcoreanos atribuidos a elementos dentro de Corea del Norte.

Marzo

El 20 de marzo de 2013, seis organizaciones surcoreanas sufrieron un presunto ataque de guerra cibernética . ^[1] Las organizaciones incluían tres empresas de medios ( KBS , MBC y YTN ) y tres instituciones financieras ( la Federación Nacional de Cooperativas Agrícolas , Shinhan Bank y Jeju Bank). El organismo de vigilancia de las comunicaciones de Corea del Sur, la Comisión de Comunicaciones de Corea, elevó su nivel de alerta sobre ataques cibernéticos a tres en una escala de cinco. Se ha culpado a Corea del Norte de ataques similares en 2009 y 2011 y se sospecha que también lanzó este ataque. Este ataque también se produjo en un período de elevadas tensiones entre las dos Coreas, tras la prueba nuclear de Pyongyang el 12 de febrero. ^[2] Los funcionarios surcoreanos vincularon el incidente a una dirección IP china , lo que aumentó las sospechas hacia Corea del Norte ya que "los expertos en inteligencia creen que Corea del Norte utiliza habitualmente direcciones informáticas chinas para ocultar sus ataques cibernéticos". ^[3] Más tarde se reveló que la dirección IP no se originó en China sino en la red interna de una de las organizaciones atacadas. ^[4]

Los ataques a las seis organizaciones derivaron de una sola entidad. Las redes fueron atacadas mediante códigos maliciosos, en lugar de ataques distribuidos de denegación de servicio (DDoS) como se sospechaba al principio. Parecía haber utilizado sólo sobrescrituras del disco duro. ^[5] Este ciberataque “dañó 32.000 ordenadores y servidores de empresas de medios y financieras”. ^[6] La Comisión de Servicios Financieros de Corea del Sur dijo que Shinhan Bank informó que sus servidores de banca por Internet habían sido bloqueados temporalmente y que Jeju Bank  [ko] y NongHyup informaron que las operaciones en algunas de sus sucursales habían sido paralizadas después de que las computadoras fueron infectadas con virus. y sus archivos borrados. Woori Bank informó sobre un ataque de piratería, pero dijo que no había sufrido daños. ^[7]

Este ciberataque “causó 750 millones de dólares sólo en daños económicos. (Feakin 2013)” ^[8] Además, “[l]a frecuencia de los ciberataques por parte de Corea del Norte y las rampantes actividades de ciberespionaje atribuidas a China son motivo de gran preocupación para el gobierno de Corea del Sur. (Lewis 2013)” ^[9]

Junio

El ciberterrorismo del 25 de junio es una filtración de información que ocurrió el 25 de junio de 2013 y tuvo como objetivo Cheongwadae y otras instituciones. El hacker que provocó este incidente admitió que la información de 2,5 millones de miembros del Partido Saenuri , 300.000 soldados, 100.000 usuarios de la página de inicio de Cheongwadae y 40.000 miembros de las Fuerzas Coreanas de los Estados Unidos . Hubo aparentes ataques de piratería en sitios web gubernamentales . El incidente ocurrió en el 63º aniversario del inicio de la Guerra de Corea de 1950-53 , que fue una guerra que dividió la península de Corea . Desde que el sitio web de la Casa Azul fue pirateado, la información personal de un total de 220.000 personas, incluidos 100.000 ciudadanos comunes y 20.000 militares, que utilizaban el sitio web " Cheong Wa Dae " fue pirateada. ^{[10] [ fuente no confiable ]} El sitio web de la oficina de Coordinación de Políticas Gubernamentales y algunos servidores de medios también se vieron afectados.

Si bien múltiples perpetradores organizaron múltiples ataques, uno de los ataques distribuidos de denegación de servicio (DDoS) contra los sitios web del gobierno de Corea del Sur estaba directamente vinculado a la pandilla “DarkSeoul” y a Trojan.Castov. ^[11] El malware relacionado con el ataque se llama "DarkSeoul" en el mundo informático y se identificó por primera vez en 2012. Ha contribuido a múltiples ataques previos de alto perfil contra Corea del Sur.

Línea de tiempo

Aproximadamente el 25 de junio de 2013 a las 9:10 a. m., sitios web como el sitio web de Cheongwadae, los sitios web de los principales institutos gubernamentales, noticias, etc. se convirtieron en víctimas de cambios en el sitio web, DDoS , robo de información y otros ataques similares. Al conectarse a la página de inicio de Cheongwadae, palabras como 'El gran gobernador Kim Jong-un ' y '¡Todos saluden al presidente unificado Kim Jong-un! Hasta que se cumplan nuestras demandas, nuestros ataques continuarán. Saludanos. Somos anónimos' aparecería con una foto de la presidenta Park Geun-hye .

El gobierno cambió el estado de peligro cibernético a "digno de mención" el 25 de junio a las 10:45 a. m., luego lo cambió a "advertencia" a las 3:40 p. m. ^[12] Cheongwadae subió una disculpa el 28 de junio. ^[13]

El Ministerio de Ciencia, TIC y Planificación Futura reveló el 16 de julio que tanto los incidentes de marzo como los de junio correspondían a métodos de piratería informáticos utilizados en el pasado por Corea del Norte . ^[14] Sin embargo, los objetivos atacados incluyen un sitio de la Agencia Central de Noticias Coreana Japonesa y los principales sitios web anti-Sur de Corea del Norte, y los piratas informáticos también han anunciado que divulgarían información de aproximadamente 20 oficiales de alto rango del ejército norcoreano con innumerables piezas de información sobre armamento norcoreano.

Respuesta

Tras el hackeo de junio hubo más especulaciones de que Corea del Norte era responsable de los ataques. Los investigadores descubrieron que "una dirección IP utilizada en el ataque coincidía con una utilizada en intentos anteriores de piratería por parte de Pyongyang ". ^[15] Park Jae-moon, ex director general del Ministerio de Ciencia, TIC y Planificación del Futuro, dijo: “82 códigos malignos [recogidos de los dispositivos dañados] y direcciones de Internet utilizados para el ataque, así como los códigos de Corea del Norte patrones de piratería anteriores", demostró que "los métodos de piratería eran los mismos" que los utilizados en los ataques cibernéticos del 20 de marzo. ^[16]

Con este incidente, el gobierno coreano anunció públicamente que se haría cargo de la “Torre de Control de Respuesta al Terrorismo Cibernético” y, junto con diferentes ministerios, el Servicio Nacional de Inteligencia (NIS) será responsable de construir un sistema de respuesta integral utilizando la “Torre de Control de Respuesta Cibernética Nacional ”. Medidas de seguridad." ^[17]

El gobierno de Corea del Sur afirmó un vínculo con Pyongyang en los ciberataques de marzo , lo que Pyongyang ha negado. ^[18] Se sospecha que un hombre surcoreano de 50 años identificado como el Sr. Kim está involucrado en el ataque. ^[19]

Aparición en el National Geographic de Corea del Sur

El National Geographic de Corea del Sur publicó el ciberterrorismo como una de las 10 palabras clave principales de 2013 debido a estos ataques. ^[20]

Medidas

• El gobierno formó un cuartel general conjunto de respuesta a la crisis cibernética civil, gubernamental y militar. ^[21]
• Empresas de seguridad como AhnLab y Hauri están implementando actualizaciones de emergencia o distribuyendo vacunas específicas para detectar malware que causa problemas en sus productos. El diagnóstico dado por cada empresa es el siguiente.
• AhnLab: Win-Trojan/Agent.24576.JPF (JPG, JPH), Dropper/Eraser.427520 ^[22]
• INCA Internet - ApcRunCmd.exe: Trojan/W32.Agent.24576.EAN / Othdown.exe: Trojan/W32.Agent.24576.EAO ^[23]
• Hauri - ApcRunCmd.exe: Trojan.Win32.U.KillMBR.24576 / Othdown.exe: Trojan.Win32.U.KillMBR.24576.A
• Symantec - Trojan.Jokra[23]
• Sophos - Mal/EncPk-ACE (también conocido como "DarkSeoul")

Ver también

• Ataques DDoS de 2009 contra Corea del Sur
• Oficina 121
• Grupo Lázaro

Referencias

1. "Corea del Sur en alerta por ciberataques después de la caída de una red importante". el guardián . 2013-03-20 . Consultado el 31 de enero de 2023 .
2. "El ciberataque afecta a los sitios web de Corea del Sur". 25 de junio de 2013 . Consultado el 25 de septiembre de 2019 .
3. "Enlace de la dirección IP de China al ciberataque de Corea del Sur". BBC . 21 de marzo de 2013 . Consultado el 12 de septiembre de 2016 .
4. "韓国のサイバー攻撃、アクセス元は社内のプライベートIPアドレス". ＠IT (en japonés) . Consultado el 5 de mayo de 2023 .
5. "¿Están relacionados los ciberataques de Corea del Sur de 2011 y 2013?". Respuesta de seguridad de Symantec . Archivado desde el original el 1 de abril de 2013 . Consultado el 25 de septiembre de 2019 .
6. Michael Pearson; KJ Kwon; Jethro Mullen (20 de marzo de 2013). "El ataque de piratería informática contra Corea del Sur se remonta a China". CNN . Consultado el 25 de septiembre de 2019 .
7. Choe Sang-Hun, "Las redes informáticas en Corea del Sur están paralizadas por los ciberataques", The New York Times , 20 de marzo de 2013.
8. "Funciones de Australia, Canadá y Corea del Sur". Seguridad mutua en Asia-Pacífico: funciones de Australia, Canadá y Corea del Sur . Prensa de la Universidad McGill-Queen. 2015. JSTOR  j.ctt1jktr6v.
9. "Funciones de Australia, Canadá y Corea del Sur". Seguridad mutua en Asia-Pacífico: funciones de Australia, Canadá y Corea del Sur . Prensa de la Universidad McGill-Queen. 2015. JSTOR  j.ctt1jktr6v.
10. "북한의 사이버 공격과 우리의 사이버 안보 상황". Blog de Naver | 통일부 공식 블로그 (en coreano) . Consultado el 25 de septiembre de 2019 .
11. "Cuatro años de ciberataques de DarkSeoul contra Corea del Sur continúan en el aniversario de la Guerra de Corea". Respuesta de seguridad de Symantec . Consultado el 25 de septiembre de 2019 .
12. 홍, 재원; 박, 홍두 (25 de junio de 2013). "'6·25 사이버 테러' 남도 북도 같은 날 당했다". Kyunghyang Shinmun (en coreano) . Consultado el 31 de enero de 2023 .
13. "10만건 개인정보유출 사실로 드러나.... 청와대, 사과문 공지". www.ddaily.co.kr (en coreano) . Consultado el 31 de enero de 2023 .
14. "[속보]정부 "6 · 25 사이버공격 북한 소행"". Kyunghyang Shinmun (en coreano). 2013-07-16 . Consultado el 31 de enero de 2023 .
15. "Corea del Norte 'detrás del ataque de piratería'". 2013-07-16 . Consultado el 25 de septiembre de 2019 .
16. 권, 혜진 (16 de julio de 2013). ""'6·25 사이버공격'도 북한 소행 추정"(종합)". Agencia de Noticias Yonhap (en coreano) . Consultado el 25 de septiembre de 2019 .
17. "보도자료 (과학기술정보통신부) | 과학기술정보통신부". www.msit.go.kr. ​Consultado el 25 de septiembre de 2019 .
18. Lee Minji (10 de abril de 2013). "(2ª AMPLIACIÓN) El gobierno confirma el vínculo de Pyongyang con los ciberataques de marzo". Noticias de Yonhap . Consultado el 7 de septiembre de 2016 .
19. Jeyup S. Kwaak (31 de julio de 2013). "Seúl sospecha que un ejecutivo tecnológico de Corea del Sur está ayudando al Norte en ciberataques". El periodico de Wall Street . Consultado el 3 de agosto de 2013 .
20. 내셔널지오그래픽채널, '2013년 10대 키워드' 경향신문, 2013년 12월 12일
21. "朴대통령 전산망마비 '조속복구' 지시… 범정부팀 가동". 연합뉴스 (en coreano). 20 de marzo de 2013.
22. "AhnLab". www.ahnlab.com (en coreano).
23. "[잉카인터넷 대응팀] [긴급대응]언론사 방송국, 금융사이트 부팅 불가 사고 발생 [#Actualización 2013. 2. 5. 03]". erteam.nprotect.com . Archivado desde el original el 25 de marzo de 2013.