Négy éve rendszeresen internetes hackertámadás éri Dél-Korea hadseregét és vállalatait is, az akciók mögött két hackercsoport és persze egy szervezett kiberhadjárat képe sejlik fel a Reuters információi szerint. A McAfee és a Symantec kutatásai is egy összehangolt akciósorozat képzetét erősítik, közvetlen bizonyíték egyelőre nincs.

A Symantec a koreai háború évfordulójával kötötte össze a múlt havi DDoS támadásokat, DarkSeoul gangként hivatkozva a kivitelezőkre. Ugyanakkor a szakértő cég jelentése rámutatott arra, hogy ugyanez a csoport beazonosítható amerikai célpontok ellen, a függetlenség napján elkövetett DDoS támadásokkal kapcsolatban is. A Symantec szerint ők felelősek a márciusi és májusi koreai támadásokért is. A megbízók kiléte egyelőre nem ismert.

Nem azonosította a McAfee biztonsági szoftvercég sem a támadás megrendelőit, de a támadásban résztvevő kártevők elemzése alapján a New Romanic Cyber Army Team és a Whois Hacking Team csoportokat nevezte meg végrehajtóként (ez azonos lehet a Symantec terminológiájából ismert DarkSeoul csoporttal). A tegnap közzétett 29 oldalas dokumentumban 2009. július 4-re datálják a kutatók a sorozat első akcióját, melynek során egy kártékony szoftver munkaállomásokról törölt adatokat és zavart idézett elő néhány, az USA és Dél-Korea területén üzemeltetett kormányzati és üzleti weboldal működésében. Idén tavasszal csúcsosodott ki az akció, ekkor összehangoltan több tízezer vállalati PC-t ütöttek ki a kártevők az MBR törlésével, de ezt megelőzően ismeretlen (és hosszú) időn át hátsó kaput nyitottak a támadók számára, akik ezen képesek voltak dokumentumokat áttölteni a gépekről. A támadás több kártevő kombinációjával dolgozott, valószínűleg egy óvatlan felhasználókat célzó adathalász kampány során jutottak be a hálózatba és onnan módszeresen terjeszkedtek tovább. Az Internet Explorer biztonsági hibáit használta ki a belső terjeszkedésre és rejtőzésre az illetékes modul – sok bank rendszere ma is régebbi IE kiadásokra támaszkodik. A 3Ratet is a csokor részeként azonosította a McAfee, a kártevőt koreai és angol nyelvű kulcsszavakat (például Weapon, US Army, secret – a koreai kifejezéseket mellőznénk) tartalmazó szövegek kereséséhez és továbbításához használták a támadássorozat során.

A McAfee Operation Troy névvel illette azt a 2009-2012-ig terjedő, csendes kémkedéssel töltött periódust, minek során nagy valószínűséggel adatokat gyűjtött és a végső támadást építette fel a hackercsoport. A Dark Seoul néven ismert március 20-ai támadás már csak az akció lezárása volt, hogy közben mennyi és milyen érzékeny adatok kerültek ki az érintett cégektől, arról nincs információ. Dél-Korea kormányzati illetékese, Min-Seok tagadja, hogy titkosított dokumentumok idegenek kezére jutottak volna, azt állítva, hogy azokat az internettől elszeparálva tárolják. A jelentés szerint ilyen esetben igen komplikált, de nem egészen kizárható a sikeres adatszerzés és károkozás, ami természetesen súlyos csapás lenne a katonai védelemre nézve.

Észak és Dél-Korea között feszült a helyzet, aminek némiképp jót tehet, ha bebizonyosodik, hogy a támadás kivitelezői nem kormányügynökségek, hanem „privát” hacker társaságok és más irányban is tevékenykednek. Természetesen az erős gyanú még nem bizonyíték és a tulajdonosi-megrendelői körök sem ismertek, de a jelen pillanatban az enyhülés irányába mutatnak a biztonsági cégek egybehangzó szakvéleményei.