Südkorea wurde im März 2013 Opfer eines groß aufgezogenen Cyberangriffs. Die Computernetzwerke zweier großen Banken, sowie dreier Fernsehsender und einiger anderer Unternehmen stürzten gleichzeitig ab. Alle Computer versagten zur gleichen Zeit. Der Angriff ist besonders daher bemerkenswert, da Südkorea technologisch sehr fortschrittlich ist. Einige Banken konnten den ganzen Nachmittag über einige Funktionen nicht anbieten.

James Barnett, der ehemalige Chief of Public Safety and Homeland Security für die US-amerikanische bundesweite Kommunikationskommission (FCC), sagt zu dem Angriff Folgendes:

„This needs to be a wake-up call. This can happen anywhere.“ (Dies muss ein Weckruf sein. So etwas kann überall passieren.)

Das Ganze wirkte wie aus einem James Bond-Film: Auf einigen Bildschirmen erschienen Totenköpfe mit rot glühenden Augen und einem hämischen Lachen, während die Attacke stattfand. Es gab keine größere Schäden. Der Angriff sollte wohl eher Angst und Schrecken verbreiten, als etwas zu zerstören.

Trotzdem zeigt sich hier eine klare Schwachstelle im technologisch fortschrittlichen Südkorea. Es wurden allerdings keine Seiten mit Regierungszusammenhang angegriffen.

Die Ursache, ein Virus, wurde inzwischen von Sophos und Symantec als der DarkSeol oder Jokra Trojan identifiziert. Die Malware auf südkoreanischen Computern war möglicherweise als seriöses Sicherheitsupdate getarnt.

Zunächst nahm man an, dass der Angriff von einer einzelnen IP aus China kam. Diese Annahme wurde jedoch revidiert, als herauskam, dass die IP-Adresse eigentlich der NongHyup Bank gehörte, einem Opfer der Angriffe.

Eine weiteren Recherche ergab Folgendes: Einige Tage vor dem Angriff brachen Hacker in die Server der Sicherheitsfirma Fortinet ein. Dort installierten sie eine Malware, welche dann als Sicherheitsupdate getarnt von Fortinets Kunden heruntergeladen wurde. Jedoch nahm Fortinet auch diese Aussage nur wenige Stunden später wieder zurück.

Kurz darauf erschien eine neue Theorie von Fortinet im Netz: Die Cyberkriminellen nutzten gestohlene Nutzerdaten und Passwörter, um einige der Angriffe zu starten. Mit diesen Daten konnte ein Zugang zu den Updatesystemen auf diesen Netzwerken erreicht werden. Dieser wurde dann genutzt, um die Malware zu verbreiten. Dabei nutzten die Hacker die vorgegebenen Kanäle, über die normalerweise neue Software und Updates ausgesendet werden. Es wurde also kein Sicherheitsloch genutzt, um die Angriffe zu koordinieren.

Die aktuellste Annahme zur Quelle und zum Ablauf des Angriffs stellt sich jedoch wie folgt dar: Hacker hatten zunächst einen Account mit Administratorrechten besorgt. Mit diesen Informationen konnte die Malware auf den PMS-Servern installiert werden, welche als ein normales Software-Update getarnt war. Diese gefälschte Datei infizierte viele Computer gleichzeitig und war so entworfen, dass sie um 14:00 Uhr koreanischer Zeit gleichzeitig alle infizierten Rechner ausschalten würde.

Die vorherrschende Theorie besagt immer noch, dass Nordkorea hinter den Angriffen steckt. Jedoch gibt es keine zwingenden Beweise dafür. In den letzten Jahren gab es trotz der großen Armut Nordkoreas immer wieder Cyberattacken auf südkoreanische Internetseiten.

Viele verschiedene Akteure spekulieren also zu den Ursprüngen und der Vorgehensweise der Verbrecher. Jedoch ist noch immer offen, wie die Hacker genau vorgingen und welche Kanäle genutzt wurden.

Artikel von latimes.com, 20.03.2013: South Korean banks, others hit by cyber attack
Artikel von scmagazine.com, 20.03.2013: South Korean corporations hit by widespread attack that wiped data and shut down systems
Artikel von theregister.co.uk, 25.03.2013: South Korea data-wipe malware spread by patching system