Investigaţiile legate de atacul centralei sud-coreene KHNP au ajuns în Shenyang

O echipă comună de investigatori internaţionali, care analizează divulgarea de scheme pentru reactoare şi alte documente ale Korea Hydro and Nuclear Power (KHNP), compania de stat care operează reactoarele nucleare sud-coreene, a declarat în 24 decembrie că suspectul din acest caz a accesat reţelele coreene printr-o adresă IP localizată în Shenyang, China.

Shenyang, un oraş în apropiere de Coreea de Nord, este cunoscut ca un loc unde operează agenţii nord-coreeni. Chiar şi ministrul sud-coreean al Apărării Hwang Kyo-ahn a declarat că implicarea Coreei de Nord în atacul cibernetic nu ar putea fi exclusă complet.

Echipa de investigaţie, care este responsabilă de urmărirea cazurilor care implică delicte legate de informaţiile private, este condusă acum de Lee Jeong-soo, şeful celei de-a doua divizii a echipei de investigaţie a crimelor cibernetice din cadrul Biroului Procuraturii Centrale Districtuale din Seul.

“Hackerii păreau să plănuiască să provoace haos în funcţionarea centralelor nucleare prin imobilizarea computerelor”, a declarat un investigator. “Este terifiant să te gândeşti ce s-ar fi întâmplat dacă 3.000 de computere ar fi fost scoase din funcţiune în acelaşi timp”.

KHNP a descoperit emailurile virusate pe 9 decembrie şi a reuşit să le şteargă pe majoritatea dintre ele, însă patru computere au fost aparent infectate iar hard disck-urile lor au fost distruse.

Investigatorii au analizat în jur de 30 de computere care aparţineau muncitorilor de la centrala nucleară Wolseong şi Gori cât şi un computer al unui subcontractor. Investigatorii au obţinut de asemenea un mandat de căutare pentru a ancheta un cont de email, care a fost folosit la trimiterea mesajelor, şi care aparţinea unui muncitor KHNP retras.

În raidurile desfăşurate asupra a trei companii care furnizează reţele virtuale private (VPN-uri) ce au fost folosite de hackerul suspect pentru a posta online informaţiile sensibile despre KHNP, echipa a descoperit că între 20 şi 30 de adrese IP din zona Shenyang au fost accesate de un portal sud-coreean de aproximativ 200 de ori în 15 decembrie – ziua în care au fost divulgate informaţiile. Totuşi, nu este încă clar dacă Shenyang a fost punctul iniţial de acces sau dacă a fost doar o legătură intermediară pentru ca hackerul să scape de urmăritori.

“Întrebarea dacă Shenyang a fost punctul iniţial de acces poate fi determinată doar la sol. În prezent cerem poliţiei chineze să coopereze”, a declarat o sursă din echipa de investigaţie. Când a fost întrebată dacă Coreea de Nord a fost implicată în atac, sursa a declarat că acest lucru nu poate fi nici confirmat şi nici respins.

Din moment ce investigatorii trebuie să aştepte guvernul chinez pentru a-i ajuta în urmărirea adreselor IP şi din moment ce toate datele de identificare, conturile bancare şi informaţiile personale folosite pentru comiterea acestei infracţiuni au fost confirmate ca fiind furate, toate eforturile pentru identificarea făptaşului stagnează în prezent.

Atunci când a semnat pentru VPN, care oferă adresele virtuale IP, hackerul suspect a împrumutat numele altei persoane şi a folosit contul bancar al unei alte persoane pentru a plăti serviciile, au confirmat investigatorii. Toate datele de identificare, care au fost folosite pentru a posta pe blogul Naver articole care criticau energia nucleară sau pentru a divulga documente online, au fost furate de la alte persoane.

Ţinând cont de faptul că investigaţia s-a lovit de un zid, apropierea Crăciunului a amplificat tensiunea. Crăciunul a fost termenul limită stabilit de hacker (sau hackeri) pentru închiderea a trei reactoare nucleare – Reactoarele Kori Nr. 1 şi 3 şi Reactorul Wolseong Nr. 2.

În timpul unei întâlniri de săptămâna trecută a Comitetului Legislativ şi Judiciar, Kim Doeup, legiuitor în Partidul Saenuri (NFP), l-a întrebat pe ministrul Justiţiei Hwang dacă atacul cibernetic putea fi comis de nord-coreeni. “Nu eliminăm această posibilitate”, a declarat Hwang.