Egy amerikai hekker egyedül megbénította a teljes észak-koreai internetet

Január végén volt olyan időszak is, amikor az észak-koreai internetes oldalak több mint hat órán keresztül voltak elérhetetlenek. Bár a kiterjedt támadás összehangolt akciót sejtetett, a Wired kiderítette, hogy a hetek óta tartó hálózati problémák mögött valójában egyetlen ember áll, aki azért kezdett bele a virtuális keresztes hadjáratba, mert úgy érezte, az amerikai kormány nem lép fel elég erélyesen a rezsim hekkereivel szemben.

Az észak-koreai internetforgalmat monitorozó szakértők januárban figyeltek fel rá, hogy az ázsiai ország hálózatában egyre gyakrabban figyelhetők meg jelentős kimaradások, amit sokan egy szervezett kibertámadásnak tulajdonítottak. A több héten keresztül tartó túlterheléses támadássorozat január 26-án csúcsosodott ki, amikor mintegy hat órán keresztül az ország teljes internethálózata elérhetetlenné vált. A támadások hatására leállt az Air Koryo légitársaság honlapja, emellett az észak-koreai külügyminisztérium valamint a totalitárius rezsim nemzetközi oldala is elérhetetlenné vált, csakúgy, mint az e-mail-kiszolgáló szerverek és egyéb szolgáltatások. Több, a hírről beszámoló lap arra hívta fel a figyelmet, hogy a leállás éppen egy nappal a legutóbbi észak-koreai rakétateszt után kezdődött, de ahogy a Wired frissen publikált cikkéből kiderül, a két eseménynek közvetlenül nem volt köze egymáshoz.

A technológiai újság megtalálta, hogy ki felelős a támadásokért, és kiderült, hogy azokat mindössze egyetlen ember hajtotta végre. A személyazonossága védelme érdekében P4x álnéven bemutatkozó hekker elmondta, hogy ő is azok közé az amerikai kiberbiztonsági szakemberek közé tartozik, akik ellen az észak-koreai rezsim hekkerei tavaly célzott támadásokat indítottak, és mivel az Egyesült Államok látszólag semmit sem tett az üggyel kapcsolatban, úgy döntött, hogy virtuális igazságosztóként a saját kezébe veszi a dolgokat.

A Google kiberbiztonsági részlege, a Threat Analysis Group (TAG) tavaly január 25-én adott ki egy jelentést arról, hogy az ázsiai ország hekkerei egyenként támadtak meg több internetes sérülékenységek feltárására szakosodott kiberbiztonsági szakértőt, hogy megszerezzék azok kutatási anyagait és a munkájukhoz használt eszközöket. P4x néhány nappal korábban kapott egy programot egy másik hekkertől, amit a Google által kiadott jelentés után alaposan megvizsgált, és felfedezett benne egy olyan hátsó ajtót, aminek segítségével illetéktelenek hozzáférhettek volna a gépéhez. Bár erre a gyors közbelépés miatt már nem kerülhetett sor, ugyanakkor a szakember csalódottan vette tudomásul, hogy bár az FBI később felvette vele a kapcsolatot, a következő több mint egy évben látszólag semmilyen lépést nem tettek annak érdekében, hogy megvédjék a megtámadott személyeket vagy akár hivatalosan állást foglaljanak az üggyel kapcsolatban. “Úgy éreztem, senki sem áll a mi oldalunkon” – nyilatkozta a hekker a Wirednek, aki ezután arra a következtetésre jutott, hogy ha nem mutatják ki a foguk fehérjét, a támadások soha nem fognak abbamaradni.

Egyszemélyes kiberhadsereg

P4x ezután a saját kezébe vette a dolgokat, és automatizált szkriptekkel úgynevezett szolgáltatásmegtagadással járó támadást (DoS támadás) indított az ázsiai ország szerverei és routerei ellen. Nem volt túl nehéz dolga, hiszen a gyakran elavult szoftverekkel működtetett észak-koreai internethálózatban számos olyan biztonsági rést talált, amely ellen hatékonyan indíthatott túlterheléses támadást.

Mivel nem akart segíteni Észak-Koreának abban, hogy befoltozzák a biztonsági réseket, így P4x nem fedte fel a módszereit, de annyit azért elárult, hogy az egyik célpontja az NginX nevű webszerver volt, ami bizonyos http fejléceket nem megfelelően kezel, ezzel lehetőséget biztosítva a túlterheléses támadásra. A szakember azt is megosztotta, hogy Észak-Korea saját fejlesztésű operációs rendszere, a Red Star OS a Linux egy régi, ezáltal sérülékenyebb változatán alapul, emellett pedig az Apache nevű webszerverből is egy “ősrégi” verziót használnak. P4x szerint azokhoz a penetrációs tesztekhez képest, amelyeket régebben az ügyfeleinek végzett, hogy felfedje a hálózatuk sérülékenységeit, az Észak-Korea elleni támadás “kis-közepes” méretűnek felelt meg, így őt magát is meglepte, milyen látványos eredményt sikerült elérnie.

Junade Ali, az észak-koreai internetforgalmat monitorozó egyik szakértő a Wirednek megerősítette, hogy a támadások során több alkalommal is gyakorlatilag a teljes internet leállt az országban, ami nem csak a weboldalakat érintette, de a levelezőrendszert és egyéb szolgáltatásokat is. P4x ezzel kapcsolatban ugyanakkor sietett megjegyezni, hogy a támadásai csupán az észak-koreai IP-címről üzemelő oldalakat tették elérhetetlenné, vagyis azt nem akadályozták meg, hogy az országból hozzáférjenek a világhálóhoz.

Idegesítő, de nem feltétlenül hatásos

A Wirednek nyilatkozó szakértők ezzel kapcsolatban megjegyzik, hogy nem nyilvánvaló, hogy a támadások milyen hatást válthattak ki, hiszen Észak-Korea internetes jelenléte elhanyagolható, és nagyrészt a külföldieknek szóló propagandára korlátozódik. PX4 szerint a célja egyértelműen az volt, hogy világos üzenetet küldjön a rezsimnek, és “ha ezzel sikerült felidegesítenie az ország vezetését, azzal már elérte a célját”. Ezzel együtt azt is hangsúlyozta, hogy nem állt szándékában ártani az észak-koreai lakosságnak, akiknek nagyrészt amúgy sincs hozzáférésük a szabad internethez, csupán az országban üzemelő zárt hálózathoz, az úgynevezett Kvanmjonghoz. Azt nem lehet tudni, hogy a 25 milliós ország lakosságából pontosan hányan férnek hozzá a világhálóhoz, de a Reuters szerint a számuk nagyjából 1%-ra tehető.

Más szakértők arra hívták fel a figyelmet, hogy az Észak-Korea elleni magánakcióval P4x akaratlanul akár olyan károkat is okozhatott, amiről nincs tudomása. Dave Aitel, aki korábban az NSA-nek dolgozott, most pedig az Immunity nevű kiberbiztonsági cég vezetője, és korábban szintén a célpontjává vált a rezsim hekkereinek, a Wirednek nyilatkozva arról beszélt, hogy az ilyen támadások akadályozhatnak olyan hírszerzési műveleteket, amelyek teljes titokban zajlanak az észak-koreai számítógépes rendszeren. Azt ugyanakkor Aitel is elismerte, hogy az amerikai kormány látszólag nem reagált a támadásokra, ahogy ő fogalmazott: “az Egyesült Államok jó abban, hogy megvédje a kormányát, elfogadhatóan teljesít a vállalatok megvédésében, de nem védi az egyéneket”.

P4x arra is utalt, hogy ami eddig történt, csak bemelegítés volt, amelynek során nagyrészt az észak-koreai internet sebezhetőségeit térképezte fel, a továbbiakban viszont megpróbál bejutni a rendszereikbe, hogy onnan adatokat szerezzen meg. Ennek érdekében a sötét weben már egy projektet is elindított FUNK (FU North Korea, azaz “bazd meg, Észak-Korea”) néven, ahol haktivistákat, vagyis politikailag motivált hekkereket toboroz a további akciók kivitelezéséhez.

via