Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties, 26.484 views •

De aanval op Zuid-Korea waarbij bank- en televisienetwerken werden platgelegd, is volgens de Zuid-Koreaanse overheid te herleiden naar ip-adressen in de Verenigde Staten en Europa. Aanvankelijk werd gedacht dat China achter de aanval zat.

Vlag Zuid-KoreaDe Zuid-Koreaanse overheid zegt dat ip-adressen die in logfiles op getroffen computers werden aangetroffen en die met de aanval te maken zouden hebben, konden worden herleid tot de Verenigde Staten en drie landen in Europa. Welke landen dat zijn, is onbekend. Dat de Europese en Amerikaanse adressen op getroffen computers werden aangetroffen, wil niet zeggen dat de aanval daar ook vandaan komt: vaak worden aanvallen via meerdere locaties geleid, om de daadwerkelijke locatie van de aanvaller te verhullen.

Bij de aanval, die vorige week woensdag begon, werden drie banken en drie tv-zenders in Zuid-Korea platgelegd. Daarbij werden de gegevens op 30.000 computers gewist, gingen websites van banken offline en weigerden pinautomaten dienst. Aanvankelijk werd met de beschuldigende vinger richting China gewezen, omdat een Chinees ip-adres in een logfile werd aangetroffen. Later bleek dat dat een intern ip-adres was dat ook in China werd gebruikt.

Reacties (47)

Reactiefilter:-147036+119+23+30
Moderatie-faq Wijzig weergave
Ik vind het altijd zo vaag als ik zo'n berichten lees van 'te herleiden naar IP-adressen in land x of land y'.

Mandiant, een bedrijf die analyses doet op alles wat met 'cyber security' te maken heeft, heeft onlangs een mooi begrijpelijk rapport vrijgegeven over een Chinese hackersgroep die ze JAREN in de gaten gehouden hebben. Dit rapport "APT1: Exposing One of China's Cyber Espionage Units" is publiek beschikbaar en zeker een aanrader om eens te lezen.

Het toont duidelijk dat hackers van waar ter wereld maar ook een hop kunnen gebruiken. 'te herleiden tot IP-adres van land x of y' stel ik me dus zeker vragen bij ... :?

Een Chinees, Koreaans of gelijk welk ander Oosters' land IP-adres terugvinden in je log-files is nu ook niet zo wereldschokkend 8)7 Om je een idee te geven: Dit is een fragmentje van logwatch op mijn VPS van op ongeveer een maand tijd:

Failed logins from:
1.234.90.158: 9087 times
root/password: 2306 times
nobody/password: 1860 times
www-data/password: 1296 times
games/password: 1240 times
mail/password: 932 times
news/password: 704 times
postfix/password: 622 times


Illegal users from:
1.234.90.158: 57120 times
webalizer: 2480 times
oracle: 2021 times
apache: 1864 times
guest: 1784 times
tester: 1662 times
ftp: 1647 times
webadmin: 1551 times


En 1.234.90.158 is toevallig uit Zuid Korea :O

[Reactie gewijzigd door flux_w42 op 26 maart 2013 09:50]

Is het geen idee om failed-logins per ip te blokkeren na, zeggen: 15 gefaalde loginpogingen?
Mja, fail2ban bijvoorbeeld. Ik zou dit nog eens moeten installeren. Sowieso heb ik login met een wachtwoord volledig uit gezet. Enkel met private key raak je er in, ook al weet je het root wachtwoord.
Dat zullen de banken ook wel gedaan hebben. Maar dit geeft geen garantie tegen gedistribueerde attacks.
Aanvankelijk werd met de beschuldigende vinger richting China gewezen, omdat een Chinees ip-adres in een logfile werd aangetroffen.
Er werd helemaal niet gedacht dat China achter de aanvallen zat. Zuid-Korea heeft destijds aangegeven dat het om een Chinees IP-adres ging, hierbij heeft Zuid-Korea gelijk verklaard dat het niet om een Chinese aanval hoefde te gaan.

Uit de eerste onderzoeken blijkt dat de aanval vanuit één organisatie kwam. Dat de aanval van een Chinees adres kwam, hoeft echter niet te betekenen dat het om een Chinese aanval gaat, benadrukte de Zuid-Koreaanse woordvoerder tegenover persbureau AP. Hackers vallen vaak aan vanuit computers in andere landen om hun identiteit te verbergen.
Bron: nrc.nl
En dat ip is toevallig niet van een VPN-dienst, TOR-exit node of een pc uit een botnet?
Ik vind het best kwalijk dat er direct met de beschuldigende vinger werd gewezen naar Noord-Korea en nu naar Europa en de VS. Heel waarschijnlijk heeft de hacker moeite gedaan om zijn identiteit te verbergen en heeft de computer met dat ip niet vrijwillig aan de aanval meegewerkt.
Ik vind het best kwalijk dat er direct met de beschuldigende vinger werd gewezen naar Noord-Korea

Bedoel je niet naar China?
In eerste instantie werd gelijk in de media gemeld dat Noord-Korea er mogelijk achter zat:

"In Zuid-Korea werd meteen met een beschuldigende vinger naar Noord-Korea gewezen. De actie zou een tegenaanval zijn; Pyongyang had het Zuiden ervan beticht achter een cyberaanval enkele dagen eerder te zitten."
bron: http://nos.nl/artikel/486...yberaanval-uit-china.html

Zie ook het eerste artikel hierover van bijvoorbeeld de nos:
http://nos.nl/video/48660...tations-in-zuidkorea.html

Toen ze de logbestanden doornamen werd er gepraat over een chinees ip en nu dus over een ip uit Europa of de VS.

Het ging me echter om het feit dat het gemakkelijk is om te zorgen dat niet je eigen ip in die logs voorkomt en dat het dus niet uitmaakt uit welk land dit komt.

[Reactie gewijzigd door Stevie-P op 26 maart 2013 09:51]

Precies, zeker als je dit soort berichten leest over het aantal bots wereldwijd, dan weet je bijna zeker dat je in logs nooit het bron IP van de aanvallers te zien krijgt.
In mijn optiek is het verhaal specifieker. Als je leest dat ze op een hele specifieke manier zijn binnengekomen (via de corporate antivirus distributie server van één van de aangevallen bedrijven) dan valt voor mij de mogelijkheid van een losgeslagen virus af; dit was echt doelbewust. Dan blijven er nog twee mogelijkheden over: iemand kan veel geld verdienen met de storing bij de banken (denk aan speculaties op een koersval) of iemand heeft baat bij een escalatie van het Noord-Zuid conflict (aangezien de vinger snel naar Noord-Korea zou wijzen). Een ander verband tussen de banken en tv stations zie ik niet namelijk.
Ik zie hier geen beschuldigende vinger in hoor. Ze zeggen alleen dat de aanval vanaf machines is gekomen die in de VS / Europa staan. Dat zegt uiteraard nog niets over de mensen achter de aanval. Dit kan nog steeds NK, China, Rusland of van mij part Tietjerksteradeel zijn. De echte aanvallers gaan ze misschien wel nooit vinden als ze de rommel achter hun kont hebben opgeruimd...
Pfff hoe dom kun je zijn. Ze noemen niet voor niks alleen europa en VS. Als ze echt niemand wilde beschuldigen zouden ze geen namen opnoemen. Als je zegt dat we een IP van Europa/VS getroffen hebben, beschuldige je ons al!
@ Stevie-P: Misschien heb je er oveheen gelezen maar dat staat toch gewoon al in het artikel.

Quote:

"Dat de Europese en Amerikaanse adressen op getroffen computers werden aangetroffen, wil niet zeggen dat de aanval daar ook vandaan komt: vaak worden aanvallen via meerdere locaties geleid, om de daadwerkelijke locatie van de aanvaller te verhullen."
Mooie theorieën hierboven... Maar kan het niet zo zijn dat iemand gewoon het vliegtuig heeft gepakt en vanuit hier is gaan werken..

Het is nogal stom om dit vanuit je eigen land te doen....??????

Ik bedoel... we kunnen talloze servers opzetten, proxy did, omleiden dat, vpn zus en spoofing zo... ... Maar ik denk dat de dader wel wat slimmer is, en gewoon even vanuit een ander land is gaan werken..

[Reactie gewijzigd door World Citizen op 26 maart 2013 09:38]

Ik bedoel... we kunnen talloze servers opzetten, proxy did, omleiden dat, vpn zus en spoofing zo... ... Maar ik denk dat de dader wel wat slimmer is, en gewoon even vanuit een ander land is gaan werken..
Een slimme dader hoeft helemaal niet in een vliegtuig te springen. Een slimme dader hoeft namelijk gewoon niet eens z'n huis uit. ;)

En die slimme dader is dan gewoon geheel onzichtbaar / niet te achterhalen. Cover your tracks and Obfuscate. Digitaal is dat een heel stuk gemakkelijker te bewerkstelligen dan dat je jezelf fysiek gaat verplaatsen, laat staan als je gaat vliegen.

[Reactie gewijzigd door houseparty op 26 maart 2013 13:21]

Dan nog.... jij durft te garanderen dat je dan nooit meer te achterhalen bent...
Als je van plan bent een land te hacken en talloze bedrijven plat te leggen... dan kun je jouw handelingen alsnog beter uitvoeren vanuit een ander land dan je eigen land...

Dus je handelingen zijn perfect... Maar om die dan vanuit je thuis pc te doen... |:(
Volgens mij is het niet zo moeilijk om een IP adres te spoofen, of om het via een ander land om te leiden (proxy), zoals in het artikel staat. Misschien is de aanval wel via een botnet gegaan. Dus zomaar beschuldigend met de vinger wijzen is niet erg verstandig. Ik vraag me af of ze ook goede bewijzen hebben waar de aanval vandaan komt, of dat ze alleen de locaties van de IP adressen hebben.
Vreemd hoe alle landen naar elkaar wijzen.. Je kunt gratis gebruiken maken van anonieme proxies overal ter wereld.. Waarom zou een hacker zijn echte IP gebruiken?
Dit zegt eigenlijk vrij weinig. IP adressen zijn achterhaald naar europa en de VS. Maar in het artikel staat ook terecht dat dit niet hoeft te betekenen dat deze landen achter de aanval zitten.

daarnaast blijft het erg lastig om de daad werkelijke dader te achterhalen van zo'n cyberaanval.
Er wordt nu min of meer gesugeereerd dat het een overheid is... maar zelf dat is te betwijfelen
De kop stelt dat de aanval te herleiden is naar Europa en de VS. Het artikel stelt vervolgens dat de aanval te herleiden is naar IP adressen in Europa en de VS.

Wat mij betreft is dat niet hetzelfde en is de conclusie dus eigenlijk dat ze nog steeds niet weten wie er achter zit.

Overigens zeggen IP nummers bijster weinig. Ik zie regelmatig Deutsche Telekom met Chinese AS nummers in de weer via BGP. Die kunnen dus makkelijk een aanval vanuit China simuleren. Andersom zal ook wel gebeuren.
Belachelijk iets om te zeggen land y heeft het gedaan... Je kan het verkeer zo eenvoudig omleiding met allerlei soorten netwerktypen dat het vrijwel onmogelijk is om te zeggen dat een land het heeft gedaan.

In theorie kan je een land hacken door via de netwerken van alle landen te gaan.
Het zou ook niet zo handig zijn om te hacken vanaf een IP-adres in Noord-Korea of China.
Maar dat onderzoek loopt wel hard als ze na een paar dagen al hun logfiles hebben bekeken en tot deze conclusie komen.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True