Investigarea în Cyberattacks se întinde pe tot globul

Marți, vânzătorul de securitate vietnamez Bach Khoa Internetwork Security (Bkis) a declarat că a identificat un server master de comandă și control utilizat pentru a coordona atacurile de tip "denial-of-service" ("denial-of-service"), care au descoperit site-urile majore din SUA și Coreea de Sud.

instrucțiuni către PC-urile zombie, care formează un botnet care poate fi folosit pentru a bombarda site-urile Web cu trafic, făcând site-urile inutile. Serverul era pe o adresă IP (Internet Protocol) utilizată de Global Digital Broadcast, o companie de tehnologie IP TV cu sediul în Brighton, Anglia, în conformitate cu Bkis.

[Mai multe informații: Cum să eliminați programele malware de pe PC-ul Windows] > Serverul principal a distribuit instrucțiuni altor opt servere de comandă și control utilizate în atacuri. Bkis, care a reușit să obțină controlul asupra a două dintre cele opt servere, a declarat că 166908 de computere hacked în 74 de țări au fost folosite în atacuri și au fost programate să primească instrucțiuni noi la fiecare trei minute.

Dar serverul principal nu este în REGATUL UNIT; este în Miami, potrivit lui Tim Wray, unul dintre proprietarii Digital Broadcast Broadcast, care a vorbit cu IDG News Service marți seara, la Londra.

Serverul aparține Digital Latin America (DLA), care este unul digital Companiile Global Broadcast. DLA codifică programarea latino-americană pentru distribuția pe dispozitive compatibile cu televizoare IP, cum ar fi set-top boxuri.

Noile programe sunt preluate din satelit și codificate în formatul corect, apoi trimise prin VPN (Virtual Private Network) unde Digital Broadcast difuzează conținutul, a spus Wray. Conexiunea VPN a făcut ca serverul principal să aparțină serviciului Digital Global Broadcast atunci când este de fapt în centrul de date Miami DLA.

Inginerii de la Digital Global Broadcast au redus rapid că atacurile au provenit de la guvernul nord-coreean, poate fi responsabil.

Digital Broadcast Broadcast a fost notificat de o problemă de către furnizorul său de hosting, C4L, a spus Wray. Compania sa a fost, de asemenea, contactată de Agenția de Criminalitate Organizată împotriva Criminalității Organizației (SOCA) a Regatului Unit. Un oficial SOCA a spus că nu poate confirma sau respinge o investigație. Oficiali DLA nu au putut fi contactați imediat.

Investigatorii vor trebui să profite de serverul principal pentru analiza criminalistică. Este adesea o cursa impotriva hackerilor, pentru ca daca serverul este inca sub controlul lor, datele critice ar putea fi sterse, ceea ce ar ajuta la o ancheta. "Este un proces obositor si vrei sa o faci cat de repede posibil", a spus Jose Nazario, director de cercetare în domeniul securității pentru rețelele Arbor.

Datele cum ar fi fișiere log, piste de audit și fișiere încărcate vor fi solicitate de anchetatori, a spus Nazario. "Graalul sfânt pe care îl cauți este o piesă de criminalistică care dezvăluie unde a atacat atacul și de când", a spus el.

Pentru a efectua atacurile, hackerii au modificat o malware relativ vechi, numit MyDoom, Ianuarie 2004. MyDoom are caracteristici de vierme e-mail și poate descărca și alte programe malware pe un PC și poate fi programat să efectueze atacuri de negare a serviciilor împotriva site-urilor web.

Analiza variantei MyDoom utilizată în atacuri nu este impresionant. "Încă mai cred că codul este destul de neglijent, ceea ce sper că înseamnă că [hackerii] lasă o pistă de probă bună", a spus Nazario.