Dochodzenie w sprawie napięć cybernetycznych na całym świecie

Brytyjskie władze rozpoczęły śledztwo w sprawie niedawnych cyberataków, które okaleczyły witryny internetowe w USA i Korei Południowej, ponieważ droga do znalezienia sprawców rozciąga się na całym świecie.

We wtorek wietnamski sprzedawca bezpieczeństwa Bach Khoa Internetwork Security (Bkis) oświadczył, że zidentyfikował główny serwer kontroli i kontroli używany do koordynowania ataków typu "odmowa usługi", który zlikwidował główne strony internetowe rządu Stanów Zjednoczonych i Korei Południowej.

Serwer rozkazowy służy do dystrybucji instrukcje dla komputerów zombie, które tworzą botnet, który może być użyty do bombardowania witryn sieci Web z ruchem, czyniąc witryny bezużytecznymi. Serwer był na adresie IP (Internet Protocol) używanym przez Global Digital Broadcast, firmę z technologią IPTV z siedzibą w Brighton w Anglii, zgodnie z Bkis.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Ten serwer główny rozprowadził instrukcje do ośmiu innych serwerów kontroli i kontroli używanych podczas ataków. Bkis, który zdołał przejąć kontrolę nad dwoma z ośmiu serwerów, powiedział, że w atakach wykorzystano 166,908 zhakowanych komputerów w 74 krajach.

Ale serwer główny nie znajduje się w Wielka Brytania; jest w Miami, według Tima Wray'a, jednego z właścicieli Digital Global Broadcast, który rozmawiał z IDG News Service we wtorek wieczorem, w Londynie.

Serwer należy do Cyfrowej Ameryki Łacińskiej (DLA), która jest jedną z Cyfrowych Partnerzy Global Broadcast. DLA koduje programy latynoamerykańskie do dystrybucji za pośrednictwem urządzeń kompatybilnych z IP TV, takich jak dekodery.

Nowe programy są pobierane z satelity i zakodowane do odpowiedniego formatu, a następnie wysyłane przez VPN (Virtual Private Network) do Wielkiej Brytanii, gdzie Digital Global Broadcast dystrybuuje zawartość, powiedział Wray. Połączenie VPN sprawiło, że serwer główny należał do Digital Global Broadcast, kiedy faktycznie znajduje się w centrum danych DLA DLA Miami.

Inżynierowie z Digital Global Broadcast szybko zdyskontowali fakt, że ataki rozpoczęły się od rządu Korei Północnej, który władze Korei Południowej zasugerowały może być odpowiedzialny.

Digital Global Broadcast został powiadomiony o problemie przez swojego dostawcę usług hostingowych, C4L, powiedział Wray. Z jego firmą skontaktowała się również Poważna Zorganizowana Agencja Zbrodni w Wielkiej Brytanii (SOCA). Urzędniczka SOCA powiedziała, że ​​nie może potwierdzić ani zaprzeczyć śledztwu. Urzędnicy DLA nie mogą być natychmiast osiągnięci.

Detektywi będą musieli wykorzystać ten serwer główny do analizy sądowej. Często jest to wyścig z hakerami, ponieważ jeśli serwer jest nadal pod ich kontrolą, dane krytyczne mogą zostać usunięte, co pomogłoby w badaniu.

"To żmudny proces i chcesz to zrobić tak szybko, jak to możliwe," powiedział Jose Nazario, menedżer ds. Badań nad bezpieczeństwem w Arbor Networks.

Dane, takie jak pliki dzienników, ślady audytów i przesłane pliki będą poszukiwane przez śledczych, powiedział Nazario. "Święty Graal, którego szukasz, to fragmenty kryminalistyki, które ujawniają, z kim i z kim się łączył", powiedział.

Aby przeprowadzić ataki, hakerzy zmodyfikowali stosunkowo stary szkodliwy program o nazwie MyDoom, który po raz pierwszy pojawił się w grze. Styczeń 2004. MyDoom ma charakterystykę robaka poczty e-mail, a także może pobrać inne złośliwe oprogramowanie na komputer i zostać zaprogramowany do przeprowadzania ataków typu "odmowa usługi" na witryny sieci Web.

Analiza wariantu MyDoom użytego w atakach nie jest taka imponujący. "Nadal uważam, że kod jest dość niechlujny, co, mam nadzieję, oznacza, że ​​[hakerzy] zostawiają dobrą ścieżkę dowodową", powiedział Nazario.