Korea Północna zhackowała hackera. Hacker w odwecie porozwalał Internet Korei Północnej.

Dłużej niż kilka chwil zastanawiałem się, czy zrelacjonować tę historię, opisaną przez Wired. Z jednej strony mamy tu samotnego cowboya, walczącego z reżimem, który w zasadzie nie ma żadnych skrupułów. Mamy też utęskniony przez ~wszystkich hack-back na tych złych. Mało kto na ten ostatni sobie pozwala – bo prawo, bo więzienie, bo tak nie można, etc.

Więc skąd moje wątpliwości? Mało szczegółów technicznych odnośnie samego hack-backu.

No dobra, przejdźmy do szczegółów. Być może pamiętacie historię, którą opisywaliśmy w 2021 roku na sekuraku:

Google: Korea Północna uderzyła w badaczy bezpieczeństwa. Fałszywe blogi, fałszywe projekty w Visual Studio, 0daye na Chrome, lewe DLL-ki, …

Przy okazji tej operacji stworzono nawet fałszywy blog, niby zajmujący się publikowaniem informacji o ciekawych podatnościach:

A to wszystko żeby finalnie zbackdoorować systemy badaczy/hackerów, którzy skusili się na intratną współpracę.

Jeden badacz o pseudonimie P4x, stwierdził: nie będzie Północny Koreańczyk pluł nam w twarz i systemów nam infekował! Postanowił trochę ich pohackować. Jak wygląda hackowanie Korei Północnej? Jak średniej wielkości pentest :)

For me, this is like the size of a small-to-medium pentest

Na czym polegało hackowanie? Głównie były to ataki klasy DDoS, które wg relacji całkiem dobrze zadziałały:

Records from the uptime-measuring service Pingdom show that at several points during P4x’s hacking, almost every North Korean website was down

Ataki najpewniej można było wykonać z koreańskiej sieci, korzystając z pewnych podatności (np. źle skonfigurowane serwery DNS + ataki klasy reflection)?

P4x says he’s found numerous known but unpatched vulnerabilities in North Korean systems that have allowed him to singlehandedly launch “denial-of-service” attacks on the servers and routers the country’s few internet-connected networks depend on

Na pewno mogły pomóc stare wersje serwerów webowych (hello Slowloris :P)

He also alluded to finding “ancient” versions of the web server software Apache

Czy P4x wykradł jakieś dane? Lub całkiem wyłączył Internet jak sugeruje tytuł Wired (North Korea Hacked Him. So He Took Down Its Internet)? Raczej nie. Chociaż gdyby mu się udało, mogłoby być ciekawie :-)]

AKtualizacja: jest spora szansa, że wspomniane DDoSy, opisywane są nieco bardziej technicznie – tutaj.

~Michał Sajdak