|
Специалисти по сигурността са анализирали използваният за атаките компютърен код, с който Северна Корея атакува южнокорейски финансови институции и медии вчера.
Оказва се, че в една от малуер пробите, които са анализирали специалистите присъства компонент, който изтрива информацията разположена на системи с операционна система Linux. Това заявяват от компанията за компютърна и интернет защита Symantec. Те споменават също и името му: Jokra, един доста нестандартен малуер.
"Не се сблъскваме често с компоненти, които са насочени към няколко платформи едновременно и е интересно да видим пример за това - скрит компонент, който изтрива данните в Linux машини, скрит в зловреден софтуер, който е предназначен за системи с Windows", заявяват специалистите в публикация в блога на компанията.
Южна Корея разследва атаките от вчера, при които бяха атакувани компютърните системи на поне четири банки и три телевизии. Представители на местната власт са убедени, че става въпрос за атака от севернокорейска страна.
Освен Symantec, друга от известните компании за информационна защита, които проявиха интерес към случая бяха McAfee. Те също публикуваха анализ на програмния код, с който е била атакувана азиатската страна, като допълват за друга характеристика на малуера - възможността да пише върху MBR-сектора на компютъра - първият сектор, който машината проверява преди да стартира операционната система. Ако този сектор бъде повреден, операционната система няма да стартира.
Освен това в кода се съдържа инструкция за пренаписване на случайно избрани части на файловата система със същите стрингове, което би повредило безвъзвратно няколко файла, така че ако специалист успее да възстанови по някакъв начин MBR сектора, ще разбере, че и важни файлове от системата са повредени също. Една друга особеност на зловредния код е инструкцията за изключването на два антивирусни продукти - корейските Ahnlab и Hauri, а BASH скрипт е изготвен, за да изтрие дялове в Unix системи, в това число Linux and HP-UX.
Представители на Avast също се включват в анализа на атаката, пишейки в блога на компанията, че всичко е започнало от сайта на Южнокорейския съвет за защита на софтуерните права.
Те съобщават, че въпросната страница е била хакната, като е бил вграден iframe в нея, който е свързан със започнала атака от втори сайт. Първоначалният зловреден код, с който е била осъществена атаката всъщност експлоатира уязвимост в Internet Explorer, която датира от лятото на миналата година и която е уязвимост е била изправена отдавна от Microsoft.
Вчера New York Times писа за атаките, съобщавайки, че жертви са станали първо три от големите южнокорейски банки и двете най-големи телевизии в страната, което е оставило много хора да чакат напразно пред банкоматите, а журналистите от въпросните медии - без възможност да работят. В същото време от Севернокорейската централна новинарска агенция цитираха лидера на страната Ким Чен Ун, който заплаши да унищожи правителствени обекти на юг и американски бази разположени в Тихия океан. |
|
