Atacuri pe site-urile Web din SUA, Coreea Lăsați un traseu curbător

Ancheta privind atacurile împotriva site-urilor Web de înaltă reputație din Coreea de Sud și SUA este o urmărire electronică a găurilor care poate să nu conducă la o concluzie definitivă asupra identității dintre experții în securitate informatică nu sunt de acord cu privire la nivelul de calificare al atacurilor DDOS (denial-of-service), care pe parcursul a câtorva zile la începutul lunii iulie au provocat probleme pentru unele site-uri web vizate, Băncile din Coreea de Sud, agenții guvernamentale americane și mass-media.

Atacul DDOS a fost executat de un botnet sau un grup de computere infectate cu software rău intenționat, controlat de un hacker. Malware-ul a fost programat să atace site-urile web bombardându-le cu solicitări de pagină care depășesc cu mult traficul normal de vizitatori. Ca rezultat, unele site-uri mai slabe s-au îndoit.

În timp ce există sute de atacuri DDOS care apar în fiecare zi, cel din ultima lună are caracteristici interesante. În primul rând, a fost efectuată folosind un botnet de până la aproximativ 180.000 de computere care au fost aproape în întregime localizate în Coreea de Sud. "Este foarte rar să vedem un botnet de acea dimensiune atât de localizat", a spus Steven Adair de la The Shadowserver Foundation, un grup de supraveghere a criminalității informatice. "În mod obișnuit, botneturile de dimensiuni mari necesită timp pentru a construi și mult efort din partea atacatorilor."

Și întrebările de bază par să fie fără răspuns, cum ar fi modul în care atacatorii au fost capabili să infecteze un număr atât de mare de computere în Coreea de Sud cu codul specific care a determinat computerele să atace o listă de site-uri web.

Ancheta are ramificații geopolitice. Serviciul Național de Informații din Coreea de Sud a spus, la începutul lunii trecute, parlamentarilor din țară că a susținut că Coreea de Nord a fost implicată. În ciuda faptului că nu există dovezi publice definitive care să lege Coreea de Nord de atacurile DDOS, comportamentul hardline al țării îl face un actor convenabil de a-și incrimina relațiile cu SUA și Coreea de Sud.

Botnetul, care este acum inactiv, - construit pentru atacuri. De multe ori, cei care doresc să bată un site Web offline vor închiria timp pe un botnet de la controlerul său, cunoscut ca un bot hibernator, plătindu-i o mică taxă per mașină, cum ar fi $.20. Botanicii pot fi utilizați și pentru activități pe Internet, cum ar fi trimiterea de mesaje spam.

Analistii știu că computerele care compun botnet-ul au fost infectate cu o variantă de MyDoom, o bucată de software rău intenționat care se trimite în mod repetat pe alte computere a infectat un PC. MyDoom a debutat cu consecințe devastatoare în 2004, devenind cel mai rapid vierme de e-mail răspândit în istorie. Acum este curățată în mod curent de la PC-urile care execută software antivirus, deși multe computere nu au instalat un astfel de program de protecție.

Codul MyDoom a fost numit amator, dar a fost totuși eficient. Structura de comandă și control pentru furnizarea de instrucțiuni către computerele infectate cu MyDoom a folosit opt ​​servere principale care au fost împrăștiate în întreaga lume. Dar a existat și un grup labirint de servere de comandă și control subordonate care au făcut mai dificilă urmărirea. "" Este greu de găsit adevăratul atacator ", a declarat Sang-keun Jang, analist și inginer de securitate cu securitate Compania Hauri, cu sediul în Seoul

Adresele IP (Internet Protocol) - care cel mult pot identifica aproximativ unde un computer este conectat la o rețea, dar nu la locația exactă sau care operează computerul - multe informații pentru a continua. Hotspoturile deschise Wi-Fi pot permite unui atacator să schimbe frecvent adresele IP, a declarat Scott Borg, director și economist-șef al Unității pentru Consecințe Cyber ​​în SUA, un institut de cercetare nonprofit.

"Atacurile anonime vor fi un fapt al vieții", a spus Borg. "Asta are mari implicații politice, dacă nu poți atribui rapid și cu încredere, atunci cele mai multe strategii bazate pe descurajare nu mai sunt viabile, există o revoluție mare care este deja în curs de desfășurare și trebuie făcută în gândirea noastră de apărare".

Pentru Coreea de Sud-SUA Atacurile DDOS, o companie de securitate adoptă abordarea de urmărire a banilor. Multe atacuri DDOS sunt plătite efectiv și acolo unde există bani, există un traseu.

"Deplasarea după adresele IP nu este deloc utilă", a declarat Max Becker, CTO al Outsourcing-ului pentru procesele de cunoaștere Ultrascan, o filială a firmei de investigare a fraudelor Ultrascan. "Ceea ce încercăm să facem este să mergem după oamenii care au creat și plătit pentru astfel de atacuri."

Ultrascan are o rețea de informatori care sunt închise pentru bandele criminale organizate din Asia, multe dintre ele fiind implicate în criminalitatea informatică, a declarat Frank Engelsman, cercetător la Ultrascan cu sediul în Olanda. O întrebare este dacă ar putea fi dovedit că un grup criminal a fost plătit de Coreea de Nord pentru a efectua atacurile, a spus Engelsman.

Asta ar putea face o mulțime de activități de investigație.

Criminalii cibernetici fac greșeli, cum ar fi la începutul acestui an, când cercetătorii au descoperit o rețea globală de spionaj denumită "GhostNet" care infectează computerele aparținând organizațiilor neguvernamentale tibetane, biroul privat al Dalai Lama și ambasadele mai mult de o duzină de țări. O căutare Google efectuată de cercetătorul Nart Villeneuve a scos la iveală unele dintre cele mai periculoase dovezi - un server necriptat indexat de motorul de căutare.

Din greșeli de scriere, la adrese de e-mail la erori de codificare, atacatorii pot lăsa indicii care ar putea transforma "Știți unde pot fi făcute greșelile", a spus Steve Santorelli, directorul echipei de informare globală pentru Team Cymru, o firmă nonprofit de securitate în domeniul securității pe Internet. "Puteți transforma rapid pietrele drepte."

Și Santorelli a adăugat: "Google nu uită nimic."