En 2013, hubo dos conjuntos importantes de ataques cibernéticos contra objetivos surcoreanos atribuidos a elementos dentro de Corea del Norte.
El 20 de marzo de 2013, seis organizaciones surcoreanas sufrieron un presunto ataque de guerra cibernética . [1] Las organizaciones incluían tres empresas de medios ( KBS , MBC y YTN ) y tres instituciones financieras ( la Federación Nacional de Cooperativas Agrícolas , Shinhan Bank y Jeju Bank). El organismo de vigilancia de las comunicaciones de Corea del Sur, la Comisión de Comunicaciones de Corea, elevó su nivel de alerta sobre ataques cibernéticos a tres en una escala de cinco. Se ha culpado a Corea del Norte de ataques similares en 2009 y 2011 y se sospecha que también lanzó este ataque. Este ataque también se produjo en un período de elevadas tensiones entre las dos Coreas, tras la prueba nuclear de Pyongyang el 12 de febrero. [2] Los funcionarios surcoreanos vincularon el incidente a una dirección IP china , lo que aumentó las sospechas hacia Corea del Norte ya que "los expertos en inteligencia creen que Corea del Norte utiliza habitualmente direcciones informáticas chinas para ocultar sus ataques cibernéticos". [3] Más tarde se reveló que la dirección IP no se originó en China sino en la red interna de una de las organizaciones atacadas. [4]
Los ataques a las seis organizaciones derivaron de una sola entidad. Las redes fueron atacadas mediante códigos maliciosos, en lugar de ataques distribuidos de denegación de servicio (DDoS) como se sospechaba al principio. Parecía haber utilizado sólo sobrescrituras del disco duro. [5] Este ciberataque “dañó 32.000 ordenadores y servidores de empresas de medios y financieras”. [6] La Comisión de Servicios Financieros de Corea del Sur dijo que Shinhan Bank informó que sus servidores de banca por Internet habían sido bloqueados temporalmente y que Jeju Bank y NongHyup informaron que las operaciones en algunas de sus sucursales habían sido paralizadas después de que las computadoras fueron infectadas con virus. y sus archivos borrados. Woori Bank informó sobre un ataque de piratería, pero dijo que no había sufrido daños. [7]
Este ciberataque “causó 750 millones de dólares sólo en daños económicos. (Feakin 2013)” [8] Además, “[l]a frecuencia de los ciberataques por parte de Corea del Norte y las rampantes actividades de ciberespionaje atribuidas a China son motivo de gran preocupación para el gobierno de Corea del Sur. (Lewis 2013)” [9]
El ciberterrorismo del 25 de junio es una filtración de información que ocurrió el 25 de junio de 2013 y tuvo como objetivo Cheongwadae y otras instituciones. El hacker que provocó este incidente admitió que la información de 2,5 millones de miembros del Partido Saenuri , 300.000 soldados, 100.000 usuarios de la página de inicio de Cheongwadae y 40.000 miembros de las Fuerzas Coreanas de los Estados Unidos . Hubo aparentes ataques de piratería en sitios web gubernamentales . El incidente ocurrió en el 63º aniversario del inicio de la Guerra de Corea de 1950-53 , que fue una guerra que dividió la península de Corea . Desde que el sitio web de la Casa Azul fue pirateado, la información personal de un total de 220.000 personas, incluidos 100.000 ciudadanos comunes y 20.000 militares, que utilizaban el sitio web " Cheong Wa Dae " fue pirateada. [10] [ fuente no confiable ] El sitio web de la oficina de Coordinación de Políticas Gubernamentales y algunos servidores de medios también se vieron afectados.
Si bien múltiples perpetradores organizaron múltiples ataques, uno de los ataques distribuidos de denegación de servicio (DDoS) contra los sitios web del gobierno de Corea del Sur estaba directamente vinculado a la pandilla “DarkSeoul” y a Trojan.Castov. [11] El malware relacionado con el ataque se llama "DarkSeoul" en el mundo informático y se identificó por primera vez en 2012. Ha contribuido a múltiples ataques previos de alto perfil contra Corea del Sur.
Aproximadamente el 25 de junio de 2013 a las 9:10 a. m., sitios web como el sitio web de Cheongwadae, los sitios web de los principales institutos gubernamentales, noticias, etc. se convirtieron en víctimas de cambios en el sitio web, DDoS , robo de información y otros ataques similares. Al conectarse a la página de inicio de Cheongwadae, palabras como 'El gran gobernador Kim Jong-un ' y '¡Todos saluden al presidente unificado Kim Jong-un! Hasta que se cumplan nuestras demandas, nuestros ataques continuarán. Saludanos. Somos anónimos' aparecería con una foto de la presidenta Park Geun-hye .
El gobierno cambió el estado de peligro cibernético a "digno de mención" el 25 de junio a las 10:45 a. m., luego lo cambió a "advertencia" a las 3:40 p. m. [12] Cheongwadae subió una disculpa el 28 de junio. [13]
El Ministerio de Ciencia, TIC y Planificación Futura reveló el 16 de julio que tanto los incidentes de marzo como los de junio correspondían a métodos de piratería informáticos utilizados en el pasado por Corea del Norte . [14] Sin embargo, los objetivos atacados incluyen un sitio de la Agencia Central de Noticias Coreana Japonesa y los principales sitios web anti-Sur de Corea del Norte, y los piratas informáticos también han anunciado que divulgarían información de aproximadamente 20 oficiales de alto rango del ejército norcoreano con innumerables piezas de información sobre armamento norcoreano.
Tras el hackeo de junio hubo más especulaciones de que Corea del Norte era responsable de los ataques. Los investigadores descubrieron que "una dirección IP utilizada en el ataque coincidía con una utilizada en intentos anteriores de piratería por parte de Pyongyang ". [15] Park Jae-moon, ex director general del Ministerio de Ciencia, TIC y Planificación del Futuro, dijo: “82 códigos malignos [recogidos de los dispositivos dañados] y direcciones de Internet utilizados para el ataque, así como los códigos de Corea del Norte patrones de piratería anteriores", demostró que "los métodos de piratería eran los mismos" que los utilizados en los ataques cibernéticos del 20 de marzo. [16]
Con este incidente, el gobierno coreano anunció públicamente que se haría cargo de la “Torre de Control de Respuesta al Terrorismo Cibernético” y, junto con diferentes ministerios, el Servicio Nacional de Inteligencia (NIS) será responsable de construir un sistema de respuesta integral utilizando la “Torre de Control de Respuesta Cibernética Nacional ”. Medidas de seguridad." [17]
El gobierno de Corea del Sur afirmó un vínculo con Pyongyang en los ciberataques de marzo , lo que Pyongyang ha negado. [18] Se sospecha que un hombre surcoreano de 50 años identificado como el Sr. Kim está involucrado en el ataque. [19]
El National Geographic de Corea del Sur publicó el ciberterrorismo como una de las 10 palabras clave principales de 2013 debido a estos ataques. [20]