Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 30, views: 20.550 •

De uitval van computersystemen bij banken en tv-stations in Zuid-Korea woensdag lijkt te zijn veroorzaakt door de DarkSeoul-malware die onder andere de master boot record overschrijft. Er zouden nog geen aanwijzingen zijn gevonden voor de betrokkenheid van Noord-Korea.

Woensdag werden computers van de Zuid-Koreaanse publieke omroepen KBS en MBC lamgelegd. Het interne netwerk van de nieuwszender YTN zou ook getroffen zijn, terwijl tevens computersystemen van een aantal banken werden platgelegd. Overheidssystemen zouden echter niet direct zijn aangevallen.

Mede door de hoog opgelopen spanningen tussen Noord- en Zuid-Korea, werd er vrijwel direct naar Noord-Korea gewezen. Het Cyber ​​Terror Response Center van de Zuid-Koreaanse overheid, dat de aanvallen begon te onderzoeken, zegt echter nog steeds geen bewijzen te hebben gevonden die wijzen op een Noord-Koreaanse betrokkenheid.

Er duiken inmiddels wel steeds meer aanwijzingen op dat de nog onbekende aanvallers gebruik hebben gemaakt van malware in de vorm van een virus. De malware zou onder andere de master boot record van de harde schijf hebben gewist, waardoor systemen niet meer opstarten. Ook wordt de boodschap 'hacked by Whois Team' getoond.

Antivirusbedrijf Sophos schrijft op zijn weblog dat uit de eerste analyses van de malware blijkt dat het gaat om de zogeheten DarkSeoul-malware. De kwaadaardige software zou niet erg geraffineerd zijn en al enige tijd door antivirussoftware gedetecteerd worden. Wel lijkt de malware specifiek op Zuid-Korea gericht, omdat het twee veelgebruikte Koreaanse antiviruspakketten uitschakelt. Toch durft ook Sophos niet de conclusie te trekken dat er Noord-Koreaanse hackers achter de aanval zitten.

DarkSeoul-virus

Reacties (30)

''Unfortunately, We have deleted Your Data. We'll be back Soon.
Aan de spelling af te lezen zou je zeggen dat een groep Duitsers achter de aanval zit. :+
Leg dat eens uit, Duitsers schrijven wir, deine en bald NIET met hoofdletter derp.

On topic: blijkt dat die publieke omroepen niet de beste beveiliging hebben.
Dan eerder Nederlanders: W Y D S, ofwel "wijds" opgezette aanval :+

Toch ben ik benieuwd welke beweging hier achter zit. Het zou best eens een club kunnen zijn die in het Koreaanse conflict nog wat olie op het vuur wilt gooien. Dan hoeft het niet per se een N.koreaanse beweging te zijn. Risky...

Wat ik me weer afvraag is: als de code al ruime tijd wordt herkend door antivirussen, hoe kan di virus zo effectief zijn? Het zal toch wel opgemerkt worden voordat de virusscanner platgelegd wordt?
Maar Daten schrijven ze weer wel met hoofdletter? Coincidence? Ik denk het niet..
Omdat dat een zelfstandig naamwoord is. We, your en soon zijn dat niet, dus die krijgen geen hoofdletter in het Duits.
Leg dat eens uit, Duitsers schrijven wir, deine en bald NIET met hoofdletter derp.
deine? zijn de hekkers per du met hun slachtoffers?
Lijkt me niet gezien Duitsers zelfstandig naamwoorden met hoofdletters laten beginnen en als je goed kijkt is dat nu niet direct het geval.
Ik dacht dat deze destructieve virussen in de jaren negentig waren achtergebleven omdat met het verwoesten van de MBR ook het verder verspreiden sterk belemmerd wordt. Hoewel in die tijd was het nog gebruikelijk dat een virus zich na een x aantal keer van herdistributie pas overging tot destructie in plaats van op een bepaalde datum. Gezien de artwork ga ik ervan uit dat het om baldadige tieners gaat die van zich willen laten horen op klassieke wijze.

Niettemin een lelijke aanval welke hopelijk beheerders alert maakt op wat vroeger was weer komen kan. Gelukkig alleen de MBR en niet een autofix er achteraan.
Mooi dat er overal op elk nieuws bericht staat.
Er zouden nog geen aanwijzingen zijn gevonden voor de betrokkenheid van Noord-Korea.

Jammer dat er niet staat dat er ook geen aanwijzingen zijn gevonden voor de betrokkenheid van Luxemburg.

Of zijn die er wel?
De aanval vond hoofdzakelijk plaats in Zuid-Korea. Met welk(e) land(en) staat ze op gespannen voet na recente politieke ontwikkelingen? Zover ik weet staat Luxemburg niet in die lijst en heeft er nooit opgestaan. Relevant is de mogelijkheid op basis van potentiŽle waarschijnlijkheid welke Noord-Korea als verdacht aanmerkt. Wel realistisch blijven in je kritiek. Overigens lijkt het mij juist een zielige actie van onbegrepen jonge Zuid-Koreanen te gaan die hun frustraties hebben geuit en nu zich lam zuipen om hun 'succes' te vieren.
Helemaal mee eens.
vooral leuk dat overheidsofficials dit hebben aangekondigt, er een nieuw secrurity level wordt geissued en dan een week later dit, echt heel toevallig http://blogs.computerworl...are-who-whois-team-itbwcw
VIRUS!!! in de titel -___-) malware in het artikel...
Malware zegt iets over de aard van de software: Destructief.
Virus zegt iets over de manier van verspreiden: Zichzelf kunnen verspreiden naar andere computers.
Hetgeen elkaar niet tegen spreekt. Meestal is een virus malware. ;)
Wat je zegt klopt niet..

Een virus is per definitie altijd malware.
Malware kan echter van alles zijn.
Malware is "malicious software" oftewel 'kwaadaardige software', eigenlijk valt alles hier onder van trojans tot wormen etc.

Verder kan een 'worm' zichzelf verspreiden, terwijl een virus juist een drager moet hebben. Het is niets voor niets een virus, dat als het ware infecties achterlaat terwijl het beweegt (door de drager) net zoals wij dat met een 'griep' kennen.
Je reageert met kritiek maar als iemand het dan uitlegt ga je zo reageren? Ik vraag me af of dit wel de goede site voor jou is.
je moet wel aardig dom zijn om dit soort meuk op je computer te krijgen.
Ik zeg Cybercrime Challenge: Zuid Korea :P
Kunnen we dan ook horen hoe de exploit werkt/verloopt en wie er kwetsbaar is of is dat te technisch voor Tweakers?
MBR uitschakelen en toch dit scherm tonen? Zou denken dat je gewoon een saai DOSscherm krijgt met de info dat je MBR niet gevonden kon worden, nee?
In de eerste alinea staat dat dit virus de MBR overschrijft, niet wist.

Ben tevens benieuwd wie hier nou daadwerkelijk achter zit. Was / is dit eventueel een groepje trollende "hackers" die een conflict wil(l)(d(en)) uitlokken tussen Noord- en Zuid-Korea?
De beelden uit het NOS Journaal zag je inderdaad gewoon een 'saai DOS scherm'.

Had het er vanavond al over met m'n broer, toen ik die beelden op TV zag dacht ik meteen al dat er met het MBR geknoeid was. Je zag nog dingen van Intel Raid enzo in beeld (meestal flitsen die schermen snel voorbij en begint je OS met laden).
Tsja.. nieuwe MBR en je bent weer online. 10 minuten werk? Dus waarom zo lang offline...
Omdat ze geen johnkeates in Korea hebben , die meteen door had toen het optrad dat het alleen maar het MBR betrof en die in 10 minuten alle systemen en aangesloten computers de juiste MBR kan geven, omdat hij voor elke computer de juiste repairCD klaar had liggen missschien ?

Om dataverlies tegen te gaan zal je elke computer apart van de juiste MBR moeten voorzien met een reparatiedisk als deze nergens op reageert,
Banksystemen bijvoorbeeld hebben niet op een computer een partitie om vanaf daar het OS opnieuw te kunnen installeren of te kunnen repareren.
En ik neem aan tv zenders ook niet.
Je zult dus fysiek een MBR moeten installeren/repareren vanaf een installatie-cd/DVD.

Daarna moet je alles scannen en testen voor je weer online kunt.
Zoiets duurt langer dan 10 minuten.
Maar ik geloof dat ik jou dat niet uit hoef te leggen, mijn kennis is zoveel meer beperkter. ;)

Kun je dat wel allemaal in 10 minuten dan kan je veel geld verdienen in de IT, al zullen enkelen zich afvragen of jij dan niet achter de hele actie zat..... ;)

[Reactie gewijzigd door Teijgetje op 21 maart 2013 08:59]

Krijg je het scherm met de drie schedels dan is dit normaal een bewegend scherm.
Ter informatie hier komen ook mails op te staan allemaal @whois.com adressen.
Owja en de eerste zin is (We have an Insterest in Hacking). Voor de mensen die het nog even wouden weten.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013