DarkSeoul-virus veroorzaakte vermoedelijk problemen in Zuid-Korea

De uitval van computersystemen bij banken en tv-stations in Zuid-Korea woensdag lijkt te zijn veroorzaakt door de DarkSeoul-malware die onder andere de master boot record overschrijft. Er zouden nog geen aanwijzingen zijn gevonden voor de betrokkenheid van Noord-Korea.

Woensdag werden computers van de Zuid-Koreaanse publieke omroepen KBS en MBC lamgelegd. Het interne netwerk van de nieuwszender YTN zou ook getroffen zijn, terwijl tevens computersystemen van een aantal banken werden platgelegd. Overheidssystemen zouden echter niet direct zijn aangevallen.

Mede door de hoog opgelopen spanningen tussen Noord- en Zuid-Korea, werd er vrijwel direct naar Noord-Korea gewezen. Het Cyber ​​Terror Response Center van de Zuid-Koreaanse overheid, dat de aanvallen begon te onderzoeken, zegt echter nog steeds geen bewijzen te hebben gevonden die wijzen op een Noord-Koreaanse betrokkenheid.

Er duiken inmiddels wel steeds meer aanwijzingen op dat de nog onbekende aanvallers gebruik hebben gemaakt van malware in de vorm van een virus. De malware zou onder andere de master boot record van de harde schijf hebben gewist, waardoor systemen niet meer opstarten. Ook wordt de boodschap 'hacked by Whois Team' getoond.

Antivirusbedrijf Sophos schrijft op zijn weblog dat uit de eerste analyses van de malware blijkt dat het gaat om de zogeheten DarkSeoul-malware. De kwaadaardige software zou niet erg geraffineerd zijn en al enige tijd door antivirussoftware gedetecteerd worden. Wel lijkt de malware specifiek op Zuid-Korea gericht, omdat het twee veelgebruikte Koreaanse antiviruspakketten uitschakelt. Toch durft ook Sophos niet de conclusie te trekken dat er Noord-Koreaanse hackers achter de aanval zitten.

Door Dimitri Reijerman

Redacteur

Feedback • 20-03-2013 19:1130

20-03-2013 • 19:11

30 Linkedin

Lees meer

FBI: Noord-Korea is verantwoordelijk voor 'vernietigende' Sony-hack - update Nieuws van 19 december 2014
Zuid-Korea gebruikt Kinect-sensoren om grens met Noord-Korea te bewaken Nieuws van 4 februari 2014
Softwareontwikkelaar steelt creditcarddata van 20 miljoen Koreanen Nieuws van 20 januari 2014
Letland levert malware-auteur toch uit aan VS Nieuws van 6 augustus 2013
'Malwareaanvallen waren gericht op defensiegeheimen VS en Zuid-Korea' Nieuws van 8 juli 2013
Hackers stelen 45 miljoen dollar van twee banken Nieuws van 10 mei 2013
België wil digitale beveiliging overheid versterken Nieuws van 22 april 2013
'Cybercriminelen stelen meer dan 200 miljoen euro van Russische banken' Nieuws van 9 april 2013
Hackers ontvreemden wachtwoorden Scribd-gebruikers Nieuws van 5 april 2013
Malware infecteert grote hoeveelheid websites op Apache-servers Nieuws van 3 april 2013
Belgische moonwalksite in 2009 misbruikt voor grote internetaanval op Zuid-Korea Nieuws van 30 maart 2013
Aanval op Zuid-Korea te herleiden naar VS en Europa Nieuws van 26 maart 2013
'Aanvallen op Zuid-Korea afkomstig van eenzelfde bron' Nieuws van 22 maart 2013
Netwerken van Koreaanse banken en tv-stations lamgelegd Nieuws van 20 maart 2013
Noord-Korea: Verenigde Staten hacken ons Nieuws van 15 maart 2013
Mirror The Pirate Bay in Noord-Korea blijkt hoax Nieuws van 5 maart 2013
The Pirate Bay opent mirror in Noord-Korea Nieuws van 4 maart 2013
Noord-Korea gaat mobiel internet aanbieden aan buitenlandse bezoekers Nieuws van 22 februari 2013
Bezoekers Noord-Korea mogen telefoon meenemen Nieuws van 21 januari 2013
Japan gaat eigen drone bouwen Nieuws van 4 november 2012
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (30)

-Moderatie-faq
30
26
12
2
0
5
Wijzig sortering
johnkeates
21 maart 2013 00:49
Tsja.. nieuwe MBR en je bent weer online. 10 minuten werk? Dus waarom zo lang offline...
Teijgetje
@johnkeates21 maart 2013 08:47
Omdat ze geen johnkeates in Korea hebben , die meteen door had toen het optrad dat het alleen maar het MBR betrof en die in 10 minuten alle systemen en aangesloten computers de juiste MBR kan geven, omdat hij voor elke computer de juiste repairCD klaar had liggen missschien ?

Om dataverlies tegen te gaan zal je elke computer apart van de juiste MBR moeten voorzien met een reparatiedisk als deze nergens op reageert,
Banksystemen bijvoorbeeld hebben niet op een computer een partitie om vanaf daar het OS opnieuw te kunnen installeren of te kunnen repareren.
En ik neem aan tv zenders ook niet.
Je zult dus fysiek een MBR moeten installeren/repareren vanaf een installatie-cd/DVD.

Daarna moet je alles scannen en testen voor je weer online kunt.
Zoiets duurt langer dan 10 minuten.
Maar ik geloof dat ik jou dat niet uit hoef te leggen, mijn kennis is zoveel meer beperkter. ;)

Kun je dat wel allemaal in 10 minuten dan kan je veel geld verdienen in de IT, al zullen enkelen zich afvragen of jij dan niet achter de hele actie zat..... ;)

[Reactie gewijzigd door Teijgetje op 21 maart 2013 08:59]

Xellence
20 maart 2013 19:19
Ik dacht dat deze destructieve virussen in de jaren negentig waren achtergebleven omdat met het verwoesten van de MBR ook het verder verspreiden sterk belemmerd wordt. Hoewel in die tijd was het nog gebruikelijk dat een virus zich na een x aantal keer van herdistributie pas overging tot destructie in plaats van op een bepaalde datum. Gezien de artwork ga ik ervan uit dat het om baldadige tieners gaat die van zich willen laten horen op klassieke wijze.

Niettemin een lelijke aanval welke hopelijk beheerders alert maakt op wat vroeger was weer komen kan. Gelukkig alleen de MBR en niet een autofix er achteraan.
KoenHalfwerk
20 maart 2013 19:23
vooral leuk dat overheidsofficials dit hebben aangekondigt, er een nieuw secrurity level wordt geissued en dan een week later dit, echt heel toevallig http://blogs.computerworl...are-who-whois-team-itbwcw
Pepijn1908
20 maart 2013 19:50
Ik zeg Cybercrime Challenge: Zuid Korea :P
W4RH34D
21 maart 2013 09:04
Krijg je het scherm met de drie schedels dan is dit normaal een bewegend scherm.
Ter informatie hier komen ook mails op te staan allemaal @whois.com adressen.
Owja en de eerste zin is (We have an Insterest in Hacking). Voor de mensen die het nog even wouden weten.
Xzylvador
20 maart 2013 23:00
MBR uitschakelen en toch dit scherm tonen? Zou denken dat je gewoon een saai DOSscherm krijgt met de info dat je MBR niet gevonden kon worden, nee?
roughtodacore
@Xzylvador20 maart 2013 23:12
In de eerste alinea staat dat dit virus de MBR overschrijft, niet wist.

Ben tevens benieuwd wie hier nou daadwerkelijk achter zit. Was / is dit eventueel een groepje trollende "hackers" die een conflict wil(l)(d(en)) uitlokken tussen Noord- en Zuid-Korea?
Nemesizz
@Xzylvador20 maart 2013 23:24
De beelden uit het NOS Journaal zag je inderdaad gewoon een 'saai DOS scherm'.

Had het er vanavond al over met m'n broer, toen ik die beelden op TV zag dacht ik meteen al dat er met het MBR geknoeid was. Je zag nog dingen van Intel Raid enzo in beeld (meestal flitsen die schermen snel voorbij en begint je OS met laden).
Severion
20 maart 2013 19:20
Mooi dat er overal op elk nieuws bericht staat.
Er zouden nog geen aanwijzingen zijn gevonden voor de betrokkenheid van Noord-Korea.

Jammer dat er niet staat dat er ook geen aanwijzingen zijn gevonden voor de betrokkenheid van Luxemburg.

Of zijn die er wel?
Xellence
@Severion20 maart 2013 19:27
De aanval vond hoofdzakelijk plaats in Zuid-Korea. Met welk(e) land(en) staat ze op gespannen voet na recente politieke ontwikkelingen? Zover ik weet staat Luxemburg niet in die lijst en heeft er nooit opgestaan. Relevant is de mogelijkheid op basis van potentiële waarschijnlijkheid welke Noord-Korea als verdacht aanmerkt. Wel realistisch blijven in je kritiek. Overigens lijkt het mij juist een zielige actie van onbegrepen jonge Zuid-Koreanen te gaan die hun frustraties hebben geuit en nu zich lam zuipen om hun 'succes' te vieren.
deadeyes
@Severion21 maart 2013 11:37
Helemaal mee eens.
Ultraman
21 maart 2013 14:44
Lijkt wel een moderne variant van het antieke Stoned virus. De meest voorkomende variant was redelijk harmless, maar schreef zichzelf ook weg naar MBR en liet een boodschap zien in de trant van "This PC is now stoned!" en ging na een paar seconden vrolijk verder met booten.
Dat ding heb ik ooit gehad in de tijd dat ik nog geen internet had en het dus via via van een of andere floppy heb gekregen. Dat was op een IBM XT kloon met 360KB floppen.
Een "moderne" en ietwat boosaardiger variant van deze? :P

[Reactie gewijzigd door Ultraman op 21 maart 2013 14:46]

Alex3
22 maart 2013 19:10
Om het MBR te overschrijven heb je beheerdersrechten nodig. Eigen schuld dus.
GamingZeUs
20 maart 2013 21:14
Kunnen we dan ook horen hoe de exploit werkt/verloopt en wie er kwetsbaar is of is dat te technisch voor Tweakers?
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee