Uderzenia w Internecie na stronach rządu USA

Botnet składający się z około 50 000 zainfekowanych komputerów toczy wojnę ze stronami internetowymi rządu Stanów Zjednoczonych i powoduje bóle głowy dla firm w Stanach Zjednoczonych i Korei Południowej.

Atak rozpoczął się w sobotę, a eksperci od bezpieczeństwa przypisali mu obalenie amerykańskiej Federalnej Komisji Handlu (FTC) Strona internetowa w trybie offline na części z poniedziałku i wtorku. Kilka innych rządowych stron internetowych również zostało skierowanych, w tym Departament Transportu USA (DOT).

"Od ostatniego weekendu DOT doświadcza incydentów sieciowych. Pracujemy z amerykańskim zespołem gotowości na wypadek awarii komputera [US-CERT] w tym czasie "- powiedziała rzeczniczka DOT we wtorek.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Rzeczniczka amerykańskiego Departamentu Skarbu potwierdziła, że ​​strona internetowa skarbu została dotknięta atak typu "odmowa usługi". "Pracujemy z naszym dostawcą usług, aby złagodzić skutki", powiedziała.

Rzeczniczka FTC nie mogła powiedzieć, co spowodowało awarię na stronie internetowej tej agencji.

Analiza ataków

Więcej kompletna lista stron docelowych w Stanach Zjednoczonych i Korei Południowej, które są celem ataku, została opublikowana przez koreańskiego blogera, który opublikował analizę kodu botnetu. Według tej listy Amazon i Yahoo były również celem.

Departament Bezpieczeństwa Wewnętrznego USA (DHS), który prowadzi US-CERT, powiedział w ostatni wtorek, że ostrzegł agencje federalne i organizacje partnerskie i pracował nad złagodzeniem atak. "Codziennie widzimy ataki na sieci federalne, a obowiązujące środki zminimalizowały wpływ na federalne strony internetowe" - powiedział DHS w oświadczeniu. "US-CERT będzie nadal współpracować ze swoimi federalnymi partnerami i sektorem prywatnym w celu zajęcia się tą działalnością."

Atak, mimo że potężny, nie jest szczególnie wyrafinowany i wydaje się bardziej uciążliwy niż zagrożenie dla bezpieczeństwa. Korzysta z wielu dobrze znanych rozproszonych ataków typu "odmowa usługi" (DDoS), które próbują przytłoczyć witryny sieci Web bezużytecznymi żądaniami i sprawiają, że stają się one niedostępne dla legalnych użytkowników, twierdzą eksperci ds. Bezpieczeństwa. Większość docelowych stron w USA wydawała się działać we wtorek.

Jednak atak miał znacznie większy wpływ w Korei Południowej, gdzie był najważniejszą wiadomością po tym, jak kilka znaczących stron pozostało offline w środę, czas lokalny. Południowokoreańskie strony zostały po raz pierwszy trafione we wtorek, kilka dni po rozpoczęciu amerykańskiej części ataku.

Strona internetowa dla prezydenta Korei Południowej, Błękitnego Domu oraz dla Zgromadzenia Narodowego i Ministerstwa Obrony Narodowej była w trybie offline w środę po południu. Również niedostępna była strona główna Wielkiej Partii Narodowej i narodowej gazety Chosun Ilbo.

Indeks bezpieczeństwa bezpieczeństwa Korea Internet Security Center został ustawiony na "znaczny", który jest w połowie z jego pięciu poziomów i oznacza regionalne problemy z zabezpieczeniami w Internecie. Zaleca wszystkim internautom podjęcie pilnych środków bezpieczeństwa.

Atak trafił także na strony bankowości elektronicznej Korea Exchange Bank, Shinhan Bank i NongHyup Bank, i zniszczył stronę internetową US Forces Korea.

Nietypowe aspekty

Takie ataki DDoS są stosunkowo powszechne, ale kilka spraw sprawia, że ​​incydent w tym tygodniu jest niezwykły. Kod botnetu kryjący się za atakiem nie wykorzystuje typowych technik antywirusowych i wydaje się, że nie został napisany przez profesjonalnego autora szkodliwego oprogramowania, według Joe Stewarta, badacza z SecureWorks, który zapoznał się z kodem.

W sobotę i niedzielę atak zużywał od 20 do 40 GB na sekundę przepustowości, około 10 razy częściej niż typowy atak DDoS, powiedział jeden ekspert ds. bezpieczeństwa po tym, jak we wtorek poinformowano go o CERT-u USA. "To największy, jaki widziałem", powiedział ekspert, który prosił, aby go nie zidentyfikować, ponieważ nie był upoważniony do dyskusji na ten temat. We wtorek uśredniało to około 1,2 GB na sekundę, powiedział.

Eksperci ds. Bezpieczeństwa szacują wielkość botnetu na 30 000 do 60 000 komputerów.

Niecodzienne jest również to, że trafiają stosunkowo nieduże rządowe strony internetowe. "Kto kręci się wokół witryny takiej jak FAA czy Skarb Państwa?" Nie jest to coś, co większość ludzi pomyślałaby zaatakować - powiedział Stewart.

FTC w przeszłości podjęła działania przeciwko spamerom i oszustom internetowym. W zeszłym miesiącu wyłączyła dostawcę usług internetowych o nazwie Pricewert, który był powiązany z botnetami, spamem i pornografią dziecięcą.

Cudzoziemcy wciąż anonimowi

Nikt nie wie, kto jest za atakiem, chociaż Stewart powiedział, że można go uruchomić przez pojedynczą osobę.

"Wydaje mi się, że ktoś jest z jakiegoś powodu szalony w kapitalistycznych rządach", powiedział. Eksperci od bezpieczeństwa twierdzą, że większość zainfekowanych maszyn znajduje się w Korei Południowej, ale to nie oznacza, że ​​atak tam się rozpoczął.

Fakt, że atak DDoS zdjął z siebie komputery rządowe, jest dla Stanów Zjednoczonych zakłopotaniem, które stara się wzmocnić bezpieczeństwo cybernetyczne kraju pod przywództwem prezydenta Baracka Obamy.

"To są bardzo podstawowe ataki i rzeczy, które widzieliśmy od bardzo dawna." Ich skala nie jest zbyt duża ", powiedział jeden ekspert ds. bezpieczeństwa, który wypowiedział się pod warunkiem zachowania anonimowości, ponieważ nie był upoważniony do publicznego omawiania sprawy. "To żenujące, że te witryny zostały dotknięte przez cztery lub pięć dni i nadal są dotknięte. Pomyśl o pieniądzach, które stracą eBay i Amazon za 4 do 5 dni."

(Grant Gross w Waszyngtonie i Nancy Gohring w Seattle przyczyniła się do tej historii.)