Cyberattack on gov’t was similar to 2009 assault

Home > National > Social Affairs

print dictionary print

Cyberattack on gov’t was similar to 2009 assault


Having learned lessons from the infamous July 2009 cyberattack, Korea responded well to the sabotage that affected some 40 Web sites of high-profile government and business entities from Thursday to Saturday, analysts said.

But in their post-mortems, industry analysts emphasized that while the size of the damage from the latest cyberattack might have been smaller than that of 2009’s, the assailants have gotten shrewder, and Korea has to stay thoroughly up-to-date on how hackers do their nefarious work.

According to the Korea Communications Commission, a total of 219 hard disks are reported to have been destroyed in the latest distributed denial-of-service (DDoS) attack as of 1 p.m. yesterday. The number could rise in the coming days. Nonetheless, it is fewer than the 396 hard disks that were destroyed in 2009.

The KCC said the number of “zombie” PCs reported in the latest assault was 77,207, fewer than the 115,000 reported in 2009.

“As of Monday noon, we have discovered 98 overseas servers that were used to carry out the DDoS attack,” an official at the National Police Agency (NPA) Cyber Terror Response Center said. “The number could rise even more. First, we have sent official requests to law enforcement agencies of 35 nations, where the servers are located, to copy the servers’ hard disks.”

There are strikingly similarities in the attacks.

For starters, both attacks targeted high-profile government and corporate entities, and it remains unclear who is behind the assaults and why.

Also, in both rounds, the attacks were carried out using malicious codes distributed through peer-to-peer file-sharing Web sites. The assaults turned PCs into zombie PCs, or PCs that are compromised and commanded remotely to perform malicious tasks. And the attacks concluded by destroying hard disks.

“If a cybersecurity breach occurred again, we thought it would be in a form other than DDoS,” said Philip H. Kim, CEO and president of AhnLab, Korea’s leading local computer security company. “After all it should be common sense on the attacker’s part to use a different method. Nonetheless, the latest attack bears many similarities with the 2009 attack.”

AhnLab calls the latest attack “an upgraded version of the 2009 attack.” AhnLab worked closely with government agencies - the KCC and the Korea Internet Security Agency - since the onset of the attack.

The company says that while the 2009 attack was designed to damage PCs with certain Windows operating systems - namely 2000, XP and 2003 - the latest attack was designed to hit PCs that run on any Windows operating system. In 2009, authorities found 442 servers in 51 countries ordering the DDoS attack.

Meanwhile, in last week’s attack, the files’ composition kept altering, showing greater sophistication. In the 2009 incident, the files’ compositions remained the same throughout.

Furthermore, unlike the 2009 attack, the latest attack interfered when users tried to access the Web sites of computer vaccine programs.

Shortly after the government detected the attack, it advised people to download vaccines, inspect their computers and cure any possible infections. The quicker response to the attack, and better coordination between agencies and private companies, prevented the kind of damage seen in 2009.

“We found that the malicious code was much more shrewdly designed, and the way it’s distributed and controlled indicate that it was the work of professionals,” said Kim.

By Kim Hyung-eun []

Related Korean Article[이데일리]

지능화된 디도스, 7.7 대란과 무엇이 달랐나

지난 3일부터 시작된 디도스 공격은 여러가지면에서 지난 2009년 7·7 디도스 공격보다 지능화된 것으로 분석됐다.

안철수연구소는 7일 "지난번 디도스 대란은 같은 파일 구성으로 여러 차례 공격을 시도했지만, 이번에는 공격 시점마다 파일 구성이 달라지면서 새로운 파일도 추가돼 분석하고 대응하는 데 시간이 많이 걸렸다"고 전했다.

2009년 7·7 디도스 당시에는 마지막 공격 날인 10일 자정에 하드디스크와 파일이 손상됐으며, PC 날짜를 변경하면 피해를 막을 수 있었다. 하지만 이번에는 공격자가 실시간으로 작전을 변경해 공격 종료 시점이 명확하지 않았다는 것이 큰 차이점이다.

또한 호스트 파일 변조로 백신 업데이트를 방해해 이용자들이 백신 프로그램으로 치료를 하지 못하게 했다. 2009년에는 닷넷 프레임 기반인 윈도 2000, XP, 2003에만 손상이 국한됐지만 이번에는 모든 윈도 운영체제에 손상이 이뤄지도록 했다.

악성코드의 시스템 손상형태도 달랐다.

3.4 디도스공격에서는 악성코드 감염후 일정시간이 지나 손상을 일으키거나 감염 즉시(3월3일 신종 악성코드의 경우) 손상을 일으키기도 했다. 좀비PC 손상도 특정조건 없이 모든 좀비PC를 파괴했다. 하지만 7.7 디도스공격 때는 특정조건이 만족되어야 좀비PC를 손상시켰다고 방통위는 설명했다.

하지만 정부와 인터넷서비스 사업자(ISP)의 대응체계도 과거에 비해 업그레이드 된 분위기다.

좀비PC 치료방법의 경우, 7.7 디도스공격 때는 ISP 콜센터를 통해 사용자에게 통보하고 구두로 치료방안을 안내하는 수준이었다. 하지만 이번 3.4 디도스공격 때는 감염된 PC에 팝업창을 띄어 주는 사이버 치료체계를 구축해 치료방안을 지원했고, 파악되지 않은 좀비PC에 대해서도 통보를 했다.

악성코드 최초 탐지도 7.7 디도스공격 때는 피해기관 신고로 늦었지만, 3.4 디도스공격 때는 유관기관 협력체계로 인지했다. 이에따라 피해규모도 과거와 달리, 이번에는 일시적인 접속장애와 일부 좀비PC 하드디스크 파괴 정도로 그쳤다는게 방통위의 판단이다.

한편, 이번 공격 역시 개인 사용자 PC를 `좀비PC`로 만들어 디도스 공격자가 되도록 하고 외부 서버로부터 명령을 받아 사전 계획대로 공격이 이뤄졌다는 점에서는 유사한 형태를 지녔다.

안철수연구소는 이번 디도스 공격이 공격 목적이 불명확하다는 점, 하드 디스크와 파일 손상으로 악성코드 수명이 끝난다는 점도 지난 공격과 같다고 평가했다. 또, 이번 공격에서도 `P2P` 사이트가 악성코드의 주요 배포지로 활용됐다.

김홍선 안철수연구소 사장은 "보안을 단순히 제품으로 볼 것이 아니라 프로세스로 접근해야 한다"며 "이번 일을 계기로 각 기업과 기관은 날로 지능화하는 보안 위협에 대응할 수 있도록 글로벌 기준에 맞는 대응 프로세스를 구축해야 한다"고 전했다.

Log in to Twitter or Facebook account to connect
with the Korea JoongAng Daily
help-image Social comment?
lock icon

To write comments, please log in to one of the accounts.

Standards Board Policy (0/250자)

What’s Popular Now