Amerikai, koreai webhelyek támadása hagyja el a kanyargós nyomot

Dél-Koreában és az Egyesült Államokban a nagy horderejű weboldalak elleni támadások vizsgálata egy kanyargós, csavart elektronikus lúd-hajsza, amely nem eredményez végleges következtetést az identitásról a támadók.

Számítógépes biztonsági szakértők nem értenek egyet a DDOS (elosztott szolgáltatásmegtagadási) támadások szintjén, amelyek július elején néhány nap alatt problémákat okoztak a célzott webhelyek számára, többek között Dél-koreai bankok, amerikai kormányhivatalok és médiumok.

A DDOS-támadást egy botnet vagy egy számítógépcsoport fertőzte meg, amelyet hacker irányít. A rosszindulatú programot úgy tervezték, hogy megtámadja a weboldalakat azzal, hogy olyan oldaligényeket bombáz, amelyek messze meghaladják a normál látogatói forgalmat. Ennek eredményeképpen a gyengébb helyek egy része elakadt.

[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépről]

Bár naponta több száz DDOS-támadás fordul elő,. Először a becslések szerint mintegy 180 000 számítógépet használtak, amelyek szinte teljes egészében Dél-Koreában helyezkedtek el.

"Nagyon ritka az ilyen méretű botnet ilyen lokalizált" mondta Steven Adair, The Shadowserver Foundation, egy számítógépes bűnözés elleni küzdelem csoportja. "A nagyméretű botnetek rendszerint időt igényelnek a támadók felépítésére és sok erőfeszítésre."

És az alapvető kérdések úgy tűnnek, hogy megválaszolatlanok, például, hogy a támadók mennyire képesek megfertőzni egy ilyen nagyszámú számítógépet Dél-Koreában azzal a speciális kóddal, amely a számítógépeket a webhelyek listájának támadására irányította.

A vizsgálatnak geopolitikai következményei vannak. Dél-Korea nemzeti hírszerző szolgálata állítólag elmondta az ország törvényhozóinak a múlt hónap elején, hogy gyanította, Észak-Korea részt vett. Annak ellenére, hogy nincsenek végleges nyilvános bizonyítékok arra, hogy Észak-Koreát összekapcsolják a DDOS-támadásokkal, az ország keményvonalas magatartása miatt kényelmes színésznek kell hibáztatnia, tekintettel az USA-ra és Dél-Koreára gyakorolt ​​kegyetlen kapcsolataira.

A botnet, amely most inaktív, - a támadásokra épül. Sokszor olyan emberek, akik kíváncsiak lesznek a weboldalra, időt fognak fizetni botnettjeinél a botnet néven ismert botnettől, miközben gépenként kis díjat fizetnek, mint például az US $.20. A botnetek is használhatók az internetes tevékenységhez, például a levélküldéshez.

Az elemzők tudják, hogy a botneteket tartalmazó számítógépek fertőzöttek voltak a MyDoom egy változatával, egy olyan rosszindulatú szoftverrel, amely ismételten elküldi magát más számítógépeknek fertőzött egy PC-t. A MyDoom 2004-ben pusztító következményekkel debütált, a történelemben a leggyorsabban terjedő e-mail féreggé vált. Mostantól rutinszerűen megtisztítják a víruskereső szoftvereket futtató számítógépektől, bár sok számítógépen nincs ilyen védelmi szoftver telepítve.

A MyDoom kódot amatőrnek nevezték, de mindazonáltal hatékony volt. A MyDoom által fertőzött számítógépekre vonatkozó utasítások kézbesítésére szolgáló parancs- és vezérlőszerkezet nyolc fő kiszolgálót használ, amelyek világszerte szétszóródtak. De volt egy labirintus alárendelt parancs- és vezérlőszervek csoportja, amely nehezebb nyomon követni.

"Nehéz megtalálni a valódi támadót" - mondta Sang-keun Jang, a víruselemző és biztonsági mérnök a biztonsággal Hauri cég székhelye Szöulban.

Az IP (Internet Protocol) címek - amelyek legfeljebb azonosítani tudják, hogy a számítógéppel kapcsolatban mely számítógéppel vannak csatlakoztatva, de nem a pontos helyén vagy a számítógépet működtető számítógépen sok információra van szükség. A megnyitott Wi-Fi hotspotok lehetővé teszik a támadók számára, hogy gyakran cseréljenek IP-címeket, mondta Scott Borg, az USA Cyber ​​Consequences Unit, egy nonprofit kutatóintézet igazgatója és vezető közgazdásza.

"Anonim támadások lesznek az élet tényei" - mondta Borg. "Ez nagy politikai következményekkel jár, és ha nem tud gyorsan és magabiztosan tulajdonítani, akkor az elrettentésen alapuló stratégiák többé már nem életképesek: van egy nagy forradalom, amely már folyamatban van, és amelyet védelmi gondolkodásunkban kell végrehajtanunk."

Dél-Korea-USA számára DDOS támadások, egy biztonsági cég veszi a megközelítés követése a pénzt. Sok DDOS támadás valójában fizetett tranzakció, és ahol van pénz, van némi nyomvonal.

"Az IP-címek megkezdése nem igazán hasznos" - mondta Max Becker, az Ultrascan Knowledge Process Outsourcing, a csalás nyomozó cég leányvállalata Ultrascan. "Amit megpróbálunk tenni, az az emberek, akik felállítanak és fizetnek ilyen típusú támadásokért."

Az Ultrascan olyan informátorok hálózata van, akik bezárják az ázsiai szervezett bűnözői csoportokat, amelyek közül sokan részt vesznek a számítógépes bűnözésben - mondta Frank Engelsman, egy Hollandiában működő Ultrascan nevű nyomozó. Az egyik kérdés az, hogy be lehet-e bizonyítani, hogy Észak-Koreát bűncselekményt követtek el a támadások végrehajtása érdekében, Engelsman azt mondta:

Ez sok vizsgálati munkát igényelhet. De ez könnyebb lehet.

A számítógépes bűnözők hibákat követnek el, mint például az idei év elején, amikor a kutatók felfedezték a GhostNet nevű globális kémhálózatot, amely megfertőzte a tibeti nem kormányzati szervezetekhez tartozó számítógépeket, a Dalai Láma magánhivatalát és a nagykövetségeket. több mint egy tucat országban. A kutató Nart Villeneuve által végzett Google-kereső néhány legrosszabb bizonyítékot mutatott - a keresőmotor által indexelt, titkosított szerver.

A helyesírási hibáktól az e-mail címekig a kódolási hibákig a támadók olyan nyomokat hagyhatnak, amelyek egy

"Tudod, hol lesznek a hibák," mondta Steve Santorelli, a Cymru csapat, a nonprofit internetbiztonsági kutatócég globális elérhetőségének igazgatója. "A jobb sziklákat gyorsan átfordíthatja."

És Santorelli hozzátette: "A Google nem felejt el semmit."