Aanval op Zuid-Korea te herleiden naar VS en Europa

De aanval op Zuid-Korea waarbij bank- en televisienetwerken werden platgelegd, is volgens de Zuid-Koreaanse overheid te herleiden naar ip-adressen in de Verenigde Staten en Europa. Aanvankelijk werd gedacht dat China achter de aanval zat.

Vlag Zuid-KoreaDe Zuid-Koreaanse overheid zegt dat ip-adressen die in logfiles op getroffen computers werden aangetroffen en die met de aanval te maken zouden hebben, konden worden herleid tot de Verenigde Staten en drie landen in Europa. Welke landen dat zijn, is onbekend. Dat de Europese en Amerikaanse adressen op getroffen computers werden aangetroffen, wil niet zeggen dat de aanval daar ook vandaan komt: vaak worden aanvallen via meerdere locaties geleid, om de daadwerkelijke locatie van de aanvaller te verhullen.

Bij de aanval, die vorige week woensdag begon, werden drie banken en drie tv-zenders in Zuid-Korea platgelegd. Daarbij werden de gegevens op 30.000 computers gewist, gingen websites van banken offline en weigerden pinautomaten dienst. Aanvankelijk werd met de beschuldigende vinger richting China gewezen, omdat een Chinees ip-adres in een logfile werd aangetroffen. Later bleek dat dat een intern ip-adres was dat ook in China werd gebruikt.

Door Joost Schellevis

Redacteur

Feedback • 26-03-2013 09:20 47

26-03-2013 • 09:20

47

Lees meer

Chinese leger wil met VS samenwerken aan digitale beveiliging
Chinese leger wil met VS samenwerken aan digitale beveiliging Nieuws van 23 april 2013
Belgische moonwalksite in 2009 misbruikt voor grote internetaanval op Zuid-Korea
Belgische moonwalksite in 2009 misbruikt voor grote internetaanval op Zuid-Korea Nieuws van 30 maart 2013
'Aanvallen op Zuid-Korea afkomstig van eenzelfde bron'
'Aanvallen op Zuid-Korea afkomstig van eenzelfde bron' Nieuws van 22 maart 2013
DarkSeoul-virus veroorzaakte vermoedelijk problemen in Zuid-Korea
DarkSeoul-virus veroorzaakte vermoedelijk problemen in Zuid-Korea Nieuws van 20 maart 2013
Netwerken van Koreaanse banken en tv-stations lamgelegd
Netwerken van Koreaanse banken en tv-stations lamgelegd Nieuws van 20 maart 2013
Noord-Korea: Verenigde Staten hacken ons
Noord-Korea: Verenigde Staten hacken ons Nieuws van 15 maart 2013
Meer producten en artikelen
Politiek en recht Netwerk en systeembeheer Europa Verenigde staten

Reacties (47)

-Moderatie-faq
47
36
19
3
0
1
Wijzig sortering

Sorteer op:

Weergave:
flux_w42 26 maart 2013 09:40
Ik vind het altijd zo vaag als ik zo'n berichten lees van 'te herleiden naar IP-adressen in land x of land y'.

Mandiant, een bedrijf die analyses doet op alles wat met 'cyber security' te maken heeft, heeft onlangs een mooi begrijpelijk rapport vrijgegeven over een Chinese hackersgroep die ze JAREN in de gaten gehouden hebben. Dit rapport "APT1: Exposing One of China's Cyber Espionage Units" is publiek beschikbaar en zeker een aanrader om eens te lezen.

Het toont duidelijk dat hackers van waar ter wereld maar ook een hop kunnen gebruiken. 'te herleiden tot IP-adres van land x of y' stel ik me dus zeker vragen bij ... :?

Een Chinees, Koreaans of gelijk welk ander Oosters' land IP-adres terugvinden in je log-files is nu ook niet zo wereldschokkend 8)7 Om je een idee te geven: Dit is een fragmentje van logwatch op mijn VPS van op ongeveer een maand tijd:

Failed logins from:
1.234.90.158: 9087 times
root/password: 2306 times
nobody/password: 1860 times
www-data/password: 1296 times
games/password: 1240 times
mail/password: 932 times
news/password: 704 times
postfix/password: 622 times

Illegal users from:
1.234.90.158: 57120 times
webalizer: 2480 times
oracle: 2021 times
apache: 1864 times
guest: 1784 times
tester: 1662 times
ftp: 1647 times
webadmin: 1551 times

En 1.234.90.158 is toevallig uit Zuid Korea :O

[Reactie gewijzigd door flux_w42 op 22 juli 2024 14:04]

Steephh @flux_w4226 maart 2013 10:40
Is het geen idee om failed-logins per ip te blokkeren na, zeggen: 15 gefaalde loginpogingen?
flux_w42 @Steephh26 maart 2013 10:57
Mja, fail2ban bijvoorbeeld. Ik zou dit nog eens moeten installeren. Sowieso heb ik login met een wachtwoord volledig uit gezet. Enkel met private key raak je er in, ook al weet je het root wachtwoord.
Verwijderd @Steephh26 maart 2013 10:58
Dat zullen de banken ook wel gedaan hebben. Maar dit geeft geen garantie tegen gedistribueerde attacks.
-Tom 26 maart 2013 09:36
Aanvankelijk werd met de beschuldigende vinger richting China gewezen, omdat een Chinees ip-adres in een logfile werd aangetroffen.
Er werd helemaal niet gedacht dat China achter de aanvallen zat. Zuid-Korea heeft destijds aangegeven dat het om een Chinees IP-adres ging, hierbij heeft Zuid-Korea gelijk verklaard dat het niet om een Chinese aanval hoefde te gaan.

Uit de eerste onderzoeken blijkt dat de aanval vanuit één organisatie kwam. Dat de aanval van een Chinees adres kwam, hoeft echter niet te betekenen dat het om een Chinese aanval gaat, benadrukte de Zuid-Koreaanse woordvoerder tegenover persbureau AP. Hackers vallen vaak aan vanuit computers in andere landen om hun identiteit te verbergen.
Bron: nrc.nl
Stevie-P 26 maart 2013 09:31
En dat ip is toevallig niet van een VPN-dienst, TOR-exit node of een pc uit een botnet?
Ik vind het best kwalijk dat er direct met de beschuldigende vinger werd gewezen naar Noord-Korea en nu naar Europa en de VS. Heel waarschijnlijk heeft de hacker moeite gedaan om zijn identiteit te verbergen en heeft de computer met dat ip niet vrijwillig aan de aanval meegewerkt.
Verwijderd @Stevie-P26 maart 2013 09:38
Ik vind het best kwalijk dat er direct met de beschuldigende vinger werd gewezen naar Noord-Korea

Bedoel je niet naar China?
Stevie-P @Verwijderd26 maart 2013 09:50
In eerste instantie werd gelijk in de media gemeld dat Noord-Korea er mogelijk achter zat:

"In Zuid-Korea werd meteen met een beschuldigende vinger naar Noord-Korea gewezen. De actie zou een tegenaanval zijn; Pyongyang had het Zuiden ervan beticht achter een cyberaanval enkele dagen eerder te zitten."
bron: http://nos.nl/artikel/486...yberaanval-uit-china.html

Zie ook het eerste artikel hierover van bijvoorbeeld de nos:
http://nos.nl/video/48660...tations-in-zuidkorea.html

Toen ze de logbestanden doornamen werd er gepraat over een chinees ip en nu dus over een ip uit Europa of de VS.

Het ging me echter om het feit dat het gemakkelijk is om te zorgen dat niet je eigen ip in die logs voorkomt en dat het dus niet uitmaakt uit welk land dit komt.

[Reactie gewijzigd door Stevie-P op 22 juli 2024 14:04]

TDeK @Stevie-P26 maart 2013 10:06
Precies, zeker als je dit soort berichten leest over het aantal bots wereldwijd, dan weet je bijna zeker dat je in logs nooit het bron IP van de aanvallers te zien krijgt.
In mijn optiek is het verhaal specifieker. Als je leest dat ze op een hele specifieke manier zijn binnengekomen (via de corporate antivirus distributie server van één van de aangevallen bedrijven) dan valt voor mij de mogelijkheid van een losgeslagen virus af; dit was echt doelbewust. Dan blijven er nog twee mogelijkheden over: iemand kan veel geld verdienen met de storing bij de banken (denk aan speculaties op een koersval) of iemand heeft baat bij een escalatie van het Noord-Zuid conflict (aangezien de vinger snel naar Noord-Korea zou wijzen). Een ander verband tussen de banken en tv stations zie ik niet namelijk.
Kage Musha @TDeK26 maart 2013 13:51
IRIS :+
Standeman @Stevie-P26 maart 2013 09:41
Ik zie hier geen beschuldigende vinger in hoor. Ze zeggen alleen dat de aanval vanaf machines is gekomen die in de VS / Europa staan. Dat zegt uiteraard nog niets over de mensen achter de aanval. Dit kan nog steeds NK, China, Rusland of van mij part Tietjerksteradeel zijn. De echte aanvallers gaan ze misschien wel nooit vinden als ze de rommel achter hun kont hebben opgeruimd...
Verwijderd @Standeman26 maart 2013 13:30
Pfff hoe dom kun je zijn. Ze noemen niet voor niks alleen europa en VS. Als ze echt niemand wilde beschuldigen zouden ze geen namen opnoemen. Als je zegt dat we een IP van Europa/VS getroffen hebben, beschuldige je ons al!
Eric70 @Stevie-P26 maart 2013 10:07
@ Stevie-P: Misschien heb je er oveheen gelezen maar dat staat toch gewoon al in het artikel.

Quote:

"Dat de Europese en Amerikaanse adressen op getroffen computers werden aangetroffen, wil niet zeggen dat de aanval daar ook vandaan komt: vaak worden aanvallen via meerdere locaties geleid, om de daadwerkelijke locatie van de aanvaller te verhullen."
World Citizen 26 maart 2013 09:36
Mooie theorieën hierboven... Maar kan het niet zo zijn dat iemand gewoon het vliegtuig heeft gepakt en vanuit hier is gaan werken..

Het is nogal stom om dit vanuit je eigen land te doen....??????

Ik bedoel... we kunnen talloze servers opzetten, proxy did, omleiden dat, vpn zus en spoofing zo... ... Maar ik denk dat de dader wel wat slimmer is, en gewoon even vanuit een ander land is gaan werken..

[Reactie gewijzigd door World Citizen op 22 juli 2024 14:04]

houseparty
@World Citizen26 maart 2013 13:17
Ik bedoel... we kunnen talloze servers opzetten, proxy did, omleiden dat, vpn zus en spoofing zo... ... Maar ik denk dat de dader wel wat slimmer is, en gewoon even vanuit een ander land is gaan werken..
Een slimme dader hoeft helemaal niet in een vliegtuig te springen. Een slimme dader hoeft namelijk gewoon niet eens z'n huis uit. ;)

En die slimme dader is dan gewoon geheel onzichtbaar / niet te achterhalen. Cover your tracks and Obfuscate. Digitaal is dat een heel stuk gemakkelijker te bewerkstelligen dan dat je jezelf fysiek gaat verplaatsen, laat staan als je gaat vliegen.

[Reactie gewijzigd door houseparty op 22 juli 2024 14:04]

World Citizen @houseparty26 maart 2013 14:31
Dan nog.... jij durft te garanderen dat je dan nooit meer te achterhalen bent...
Als je van plan bent een land te hacken en talloze bedrijven plat te leggen... dan kun je jouw handelingen alsnog beter uitvoeren vanuit een ander land dan je eigen land...

Dus je handelingen zijn perfect... Maar om die dan vanuit je thuis pc te doen... |:(
Tk55 26 maart 2013 09:32
Volgens mij is het niet zo moeilijk om een IP adres te spoofen, of om het via een ander land om te leiden (proxy), zoals in het artikel staat. Misschien is de aanval wel via een botnet gegaan. Dus zomaar beschuldigend met de vinger wijzen is niet erg verstandig. Ik vraag me af of ze ook goede bewijzen hebben waar de aanval vandaan komt, of dat ze alleen de locaties van de IP adressen hebben.
pim 26 maart 2013 09:36
Vreemd hoe alle landen naar elkaar wijzen.. Je kunt gratis gebruiken maken van anonieme proxies overal ter wereld.. Waarom zou een hacker zijn echte IP gebruiken?
qrious 26 maart 2013 11:34
Dit zegt eigenlijk vrij weinig. IP adressen zijn achterhaald naar europa en de VS. Maar in het artikel staat ook terecht dat dit niet hoeft te betekenen dat deze landen achter de aanval zitten.

daarnaast blijft het erg lastig om de daad werkelijke dader te achterhalen van zo'n cyberaanval.
Er wordt nu min of meer gesugeereerd dat het een overheid is... maar zelf dat is te betwijfelen
Verwijderd 26 maart 2013 11:40
De kop stelt dat de aanval te herleiden is naar Europa en de VS. Het artikel stelt vervolgens dat de aanval te herleiden is naar IP adressen in Europa en de VS.

Wat mij betreft is dat niet hetzelfde en is de conclusie dus eigenlijk dat ze nog steeds niet weten wie er achter zit.

Overigens zeggen IP nummers bijster weinig. Ik zie regelmatig Deutsche Telekom met Chinese AS nummers in de weer via BGP. Die kunnen dus makkelijk een aanval vanuit China simuleren. Andersom zal ook wel gebeuren.
Fjerpje 26 maart 2013 16:16
Belachelijk iets om te zeggen land y heeft het gedaan... Je kan het verkeer zo eenvoudig omleiding met allerlei soorten netwerktypen dat het vrijwel onmogelijk is om te zeggen dat een land het heeft gedaan.

In theorie kan je een land hacken door via de netwerken van alle landen te gaan.
kipppertje 26 maart 2013 09:37
Het zou ook niet zo handig zijn om te hacken vanaf een IP-adres in Noord-Korea of China.
Maar dat onderzoek loopt wel hard als ze na een paar dagen al hun logfiles hebben bekeken en tot deze conclusie komen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq