Gyurkity Péter

Újabb támadás indulhat az USA és Dél-Korea ellen

Bár a két ország elleni internetes támadások lecsengeni látszanak a hétvége folyamán, könnyen előfordulhat, hogy a második fordulót készítik elő az elkövetők. Az adatok törlése is lehetőségként merül fel.

A szakértők 50 és 100 ezer közé teszik a botnet hálózatban résztvevő, megfertőzött számítógépek számát, amelyek valamilyen formában kapcsolatba kerültek és maguk is hozzájárultak a támadásokhoz. Ezen támadásokban az Egyesült Államok és a Dél-Korea hálózatait támadták (részleges sikerrel), így rögtön felmerült Észak-Korea és Kína szerepe, ám az utóbbi napokban még jobban tisztázódni látszik a helyzet.

A kínai illetékesek ugyanis rögtön határozottan tagadták érintettségüket, kiemelve, hogy semmilyen okuk nincs a Dél-Korea elleni összehangolt támadások megindítására avagy azok támogatására (érdekes módon az érvelésből az USA teljesen hiányzik). Egyre valószínűbbnek tűnik tehát, hogy Észak-Korea indított szabályos kiberháborút a két állam ellen, bár ennek bizonyítása nem lesz könnyű, hiszen a támadók 16 különböző ország IP-címeivel fedték el valódi kilétüket. A jelentések szerint a hétvégére lanyhult a támadás lendülete, jóval kevesebb akciót regisztráltak az illetékesek, ám az amerikai külügyminisztérium igyekezett leszögezni, hogy hálózataik továbbra is kiemelt célpontnak számítanak.

Az elmúlt napokban napvilágot látott szakértői jelentések és összegzések továbbá arra világítanak rá, hogy a kártevők bevizsgált forráskódja szerint az adatok teljes törlése is a célok között szerepelt, tehát minden megtámadott számítógép háttértárolóinak tartalmát megsemmisítették volna az elkövetők. Ez valamiért mégsem következett be - az ok még nem világos. Mások az elfogott trójai tesztelésével bizonyították, hogy valóban megvan benne a merevlemez tartalmának törlését eredményező funkció, ám ezt a program nem hajtja végre. Vagy valamilyen hiba van a kódban, vagy a törlési funkciót egy későbbi időponthoz kötötték.

A szakértők azt is leszögezték, hogy semmi új nincs a kártevőkben és magában a támadásokban, maga a botnet hálózat sem túl nagy, hiszen a Conficker például számítógépek millióit fogta össze - figyelmeztető jel lehet azonban, hogy az akció ilyen felfordulást eredményezett.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • JeD #11
    Értem én ezt, de:
    1. Valóban, de végrehajtási ág felderítés, stb. azért létező dolgok. Másrészt mivel rendszerfüggvényeket kell, hogy hívjon (oprendszer közvetlen hozzáférést úgysem enged semmihez), ezért gondolom elég jól lehet "C-síteni". Harmadrészt, egy C forráskód is általában végtelenül ocsmány :) Sokszor inkább olvasnám a végeredményt, akár assemblyben, mint, hogy a ki tudja honnan jövő makrókat bogózzam ki :D
    2. Persze. És lásd azt, hogy ezeket, meg a mindenféle védelmeket hogyan szokták feltörni órák / napok alatt.
    3. Igen, de akkor az már nem "hiba". Aztán lehet tényleg bugos, de nem mondják, hogy ezt nem tudják eldönteni ennyi idő alatt...

    Profi programozókról meg annyit, hogy az elemzők szerinted nem azok? Ugyanúgy hekkerek mint a másik oldalon, nyilván ilyen kódot olvasni nehezebb, mint írni, de ez még így is elég sovány magyarázat.
  • firstman #10
    Nem kell leírni őket, mert a társadalom egy része szegény. Anno mi sem tudtuk, mi az a banán meg kiwi, a vezérek meg abban fürödtek.
    Bár az is lehet, hogy a Kínai hackerek ültek a gép előtt és támadták az usánka államokat a Észak-Koreaiak meg másolták és küldték Dél-Korea ellen :)
  • Hamed #9
    Nem vagyok tul jaratos, de a "kokorszaki" Eszak-Koreaban ilyen szinten all a hackertudomany? Vagy csak fogjuk rajuk, egyel tobb urugy...
    En inkabb oroszokra vagy kinara tippelnek. Vagy a vegen kiderul vmi unatkozo amcsi kocka volt megint:))
  • hiftu #8
    Több szempontot is figyelembe kell venni:
    1, C/C++-ban megírt kódot elemezd assemblyben. Sok sikert hozzá, nem lesz olyan egyszerű, mintha a C forráskódot néznéd.
    2, Nem hiszem, hogy egy trójai mindenféle védelem nélkül lenne kiküldve. Lásd a témában az anti-debug/decompile nehezítő témával foglalkozó fórumokat.
    3, Egy normális trójai nyugodtan kaphat késöbb kiegészítő infókat, esetleg kódrészleteket.
    Lehet, hogy benne van a törlésre utaló kód, azonban a trójaiban nincs "útvonal" a végrehajtásához. Ha kap egy új programrészletet, akkor lehet, hogy aktíválodik ez a funkció.

    Szóval az elemzés sokkal nehezebb, mint kivülről látszik. Egy jó trójai esetén pedig profi programozókkal áll szembe az elemző gárda, ami komoly kihivás lehet.
  • Molnibalage #7
    Bugos? :)
  • Mcsiv #6
    A forráskód egy visszafejtett kód, valamilyen alacsonyabb szintű nyelvre, így a kód egyes részeinek értelmezése várat magára és nem is olyan egyszerű megtalálni, mivel az eredeti elnevezések (pl.: mackosajt) nem visszafordítható.
  • Csirke4 #5
    Amiket én írtam programozásból házifeladatnak csak én láttam át. Et a jegy szempontjából nem mindig jó dolog...
  • Bijesz #4
    Valójában ahhoz kell nagyobb tudás, hogy úgy írj programot, hogy azt ne csak te lásd át hanem mások is.
    Valószínűleg nem az eredeti forrás kód van meg nekik hanem visszafejtették és azt elmezgetik.
  • Slim Rick #3
    Az igazi programozó úgy is megtudja írni a programot, hogy csak ő látja át. Persze idővel biztos kilehet elemezni darabokra, de időbe telik
  • alcotb #2
    csak várnak a hekkerek mire szépen neten keresztül átászik az összes adat hozzájuk...csak utánna törlik az adatokat a gazdagépekről...