CIBERCRIMEN | Artículos | 21 MAR 2013

Ciberataques contra Corea del Sur, ¿quién es el responsable?

Bárbara Madariaga

Las autoridades de Corea del Sur están investigando la autoría de los ciberataques que ayer sufrieron tres cadenas de televisión y dos bancos del país. Además, los fabricantes de seguridad también están analizado el código del ataque.

Tal y como destaca TVE, Corea del Sur ha señalado a China como el origen de los ataques que varias cadenas de televisión (KBS, MBC y YTN) y entidades financieras del país sufrieron el pasado martes. No obstante, las autoridades surcoreanas no descartan que detrás de estos se encuentre Corea del Norte.

Según declaraciones de un portavoz de la Comisión de Comunicaciones de Corea del Sur, que recoge France Presse, “hemos identificado que una IP de China ha estado conectada con las organizaciones afectadas”. No obstante, Corea del Sur mantiene “una fuerte sospecha de que Corea del Norte esté detrás del ciberataque”, tal y como destaca la agencia de noticia Yophap.

Cabe recordar que ayer, tres cadenas de televisión y dos de las principales entidades bancarias de Corea del Sur (Shinhan y Nonghyup) informaron a la Policía que sus sistemas estaban siendo atacados. A las dos de la tarde, hora local, la actividad de los sistemas de las cinco compañías se interrumpió.

 

Análisis de los fabricantes

Por su parte, los principales fabricantes de seguridad están analizando el código que se ha utilizado en los ciberataques y han encontrado una serie de componentes que han sido diseñados para destruir los ordenadores infectados.

Symantec ha asegurado que en el ciberataque se utilizó un tipo de malware conocido como Jokra,que “no es usual”. El malware “borra los discos duros de los ordenadores infectados y posteriormente hace que se reinicien, dejándolos inutilizables”.

En su blog, la firma ha destacado que “normalmente no vemos componentes que funcionen en diferentes sistemas operativos, con lo que es interesante descubrir que los atacantes incluyeron un componente que “limpia” equipos con Linux dentro de las amenazas de Windows”.

En cuanto a la autoría, Symantec asegura que “aunque en este momento no hay pistas sobre la fuente de este ataque ni de sus motivaciones, podría ser parte de un ataque clandestino, o bien podría tratarse de “hacktivismo” nacionalista que se toma la justicia por su mano”.

McAfee también ha publicado un análisis del código de ataque. Éste escribe sobre el sector de arranque principal del ordenador, que suele estar situado en los sectores principales del disco duro del sistema, por el que el ordenador comprueba de manera sistemática siempre antes de iniciar el sistema operativo. El sector MBR es sobreescrito con cada uno de las dos cadenas de código similares “PRINCPES" or "PR!NCPES”. El daño puede ser permanente, destaca McAfee. Si el MBR se corrompe, el ordenador no podrá iniciarse.

Al parecer, el malware también trata de neutralizar dos antivirus surcoreanos desarollados por las compañías Ahnlab y Hauri. Otro componente, un script BASH Shell, intenta borrar particiones de sistemas Unix, entre las que se incluyen Linux y HP-UX.

Avast, por su parte, ha destacado también en su blog, que el origen de los ciberataques contra bancos surcoreanos  se encuentra en la página Web del Consejo Coreano de Derechos de Propiedad del Software, que, a su vez fue hackeada.

 

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información