Ataki na USA, Korea Witryny internetowe opuszczają kręty szlak

Śledztwo w sprawie ataków na głośne strony internetowe w Korei Południowej i Stanach Zjednoczonych to kręty, kręty elektroniczny pościg gęsi, który może nie doprowadzić do definitywnego zakończenia tej tożsamości. atakujących.

Eksperci ds. bezpieczeństwa komputerowego nie zgadzają się co do poziomu umiejętności DDoS (rozproszonych ataków typu DoS), które w ciągu kilku dni na początku lipca spowodowały problemy w niektórych docelowych witrynach internetowych, w tym Banki południowokoreańskie, agendy rządowe USA i media.

Atak DDoS został przeprowadzony przez botnet lub grupę komputerów zainfekowanych złośliwym oprogramowaniem kontrolowanym przez hakera. To złośliwe oprogramowanie zostało zaprogramowane do atakowania witryn sieci Web poprzez bombardowanie ich żądaniami stron, które znacznie przekraczają normalny ruch odwiedzających. W rezultacie niektóre słabsze strony zapadły się.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Chociaż istnieją setki ataków DDoS, które zdarzają się każdego dnia, jeden z ostatniego miesiąca ma interesujące cechy. Po pierwsze, przeprowadzono go przy użyciu botnetu do około 180 000 komputerów prawie w całości zlokalizowanych w Korei Południowej.

"Bardzo rzadko zdarza się, aby taki botnet był tak zlokalizowany," powiedział Steven Adair z The Shadowserver Foundation, grupa przestępców zajmujących się cyberprzestępczością. "Wielkoformatowe botnety zwykle wymagają czasu, aby się narobić i dużo wysiłku od napastników."

Podstawowe pytania pozostają bez odpowiedzi, na przykład w jaki sposób atakujący byli w stanie zainfekować tak dużą liczbę komputerów w Korei Południowej ze specjalnym kodem, który zarekwirował komputery do zaatakowania listy stron internetowych.

Dochodzenie ma konsekwencje geopolityczne. Południowokoreańska Narodowa Służba Wywiadowcza podobno powiedziała ustawodawcom tego kraju na początku zeszłego miesiąca, że ​​podejrzewa, że ​​w sprawę zaangażowana jest Korea Północna. Pomimo braku ostatecznych dowodów publicznych, które łączą Koreę Północną z atakami DDOS, twarda postawa kraju sprawia, że ​​jest to dogodny aktor, którego można winić, biorąc pod uwagę jego kolczaste stosunki z USA i Koreą Południową.

Botnet, który jest teraz nieaktywny, okazał się być niestandardowy -budowany na ataki. Wiele razy osoby, które chcą odrzucić witrynę internetową w trybie offline, wynajmują czas na botnet od kontrolera, zwanego płatnikiem botów, płacąc niewielką opłatę za urządzenie, na przykład 0,20 USD. Botnety mogą być również wykorzystywane do działań internetowych, takich jak wysyłanie spamu.

Analitycy wiedzą, że komputery zawierające botnet zostały zainfekowane odmianą MyDoom, kawałkiem złośliwego oprogramowania, które wielokrotnie wysyła wiadomości do innych komputerów, gdy tylko zainfekował komputer. MyDoom zadebiutował niszczycielskimi konsekwencjami w 2004 roku, stając się najszybciej rozprzestrzeniającym się robakiem poczty e-mail w historii. Obecnie jest on rutynowo czyszczony z komputerów z oprogramowaniem antywirusowym, chociaż wiele komputerów nie ma zainstalowanego takiego oprogramowania ochronnego.

Kod MyDoom został nazwany amatorskim, ale mimo to był skuteczny. Struktura poleceń i kontroli dostarczania instrukcji do komputerów zainfekowanych MyDoom wykorzystała osiem głównych serwerów rozproszonych po całym świecie. Ale istniała też labiryntowa grupa podrzędnych serwerów dowodzenia i kontroli, które utrudniały śledzenie.

"Trudno jest znaleźć prawdziwego napastnika," powiedział Sang-keun Jang, analityk wirusów i inżynier bezpieczeństwa z bezpieczeństwem firma Hauri z siedzibą w Seulu

adresy IP (Internet Protocol) - co najwyżej może zidentyfikować mniej więcej, gdzie komputer jest podłączony do sieci, ale nie jest to jego dokładna lokalizacja lub kto obsługuje komputer - udzielają tego jedynie śledczy, wiele informacji do kontynuowania. Otwarte punkty dostępu Wi-Fi pozwalają atakującemu często zmieniać adresy IP, powiedział Scott Borg, dyrektor i główny ekonomista amerykańskiej jednostki Cyber ​​Konsekwencje, niedochodowego instytutu badawczego.

"Anonimowe ataki będą faktem" - powiedział Borg. "Jeśli nie możesz szybko i pewnie siebie przypisać, wtedy większość strategii opartych na odstraszaniu przestaje być wykonalna, jest już wielka rewolucja, która jest już w toku i musi zostać przeprowadzona w naszym myśleniu obronnym".

Dla Korei Południowej-USA Ataki DDOS, jedna firma ochroniarska podejmuje podejście śledzenia pieniędzy. Wiele ataków DDoS to rzeczywiście płatne transakcje, a tam, gdzie są pieniądze, istnieje pewna trasa.

"Pójście za adresami IP nie jest zbyt pomocne" - powiedział Max Becker, dyrektor ds. Technicznych w firmie Ultrascan Knowledge Process Outsourcing, filii firmy badającej oszustwa. Ultrascan. "To, co próbujemy zrobić, to pójść za ludźmi, którzy założyli i zapłacić za tego rodzaju ataki."

Ultrascan ma sieć informatorów, którzy są zamknięci dla zorganizowanych gangów przestępczych w Azji, z których wiele jest zaangażowanych w cyberprzestępczość, powiedział Frank Engelsman, badacz z Ultrascan z siedzibą w Holandii. Jedną z kwestii jest to, czy można udowodnić, że Korea Północna dokonała ataków na grupę przestępczą, aby przeprowadzić ataki, powiedział Engelsman.

To może wymagać dużo pracy dochodzeniowej. Ale może to być łatwiejsze.

Cyberprzestępcy popełniają błędy, na przykład w tym roku, kiedy naukowcy odkryli globalną sieć szpiegowską o nazwie "GhostNet", która zainfekowała komputery należące do tybetańskich organizacji pozarządowych, prywatne biuro Dalaj Lamy i ambasady więcej niż kilkanaście krajów. Wyszukiwarka Google przeprowadzona przez badacza Narta Villeneuve znalazła kilka najbardziej przekonywujących dowodów - niezaszyfrowany serwer zindeksowany przez wyszukiwarkę.

Od błędów ortograficznych, przez adresy e-mail do błędów kodowania, napastnicy mogą zostawić wskazówki, które mogłyby zmienić zimny szlak na gorąco.

"Wiesz, gdzie prawdopodobnie popełnione zostaną błędy," powiedział Steve Santorelli, dyrektor ds. globalnego zasięgu dla Team Cymru, organizacji non-profit zajmującej się badaniem bezpieczeństwa w Internecie. "Możesz szybko obracać odpowiednie kamienie".

Santorelli dodał: "Google niczego nie zapomina."