A Cyberattacks vizsgálata a világon elhajlik

Kedden a vietnami biztonsági gyártó Bach Khoa Internetwork Security (Bkis) azt mondta, hogy azonosította a mester parancs-és-vezérlési szervert, amely koordinálja a denial-of-service támadások koordinátáit, ami a legfontosabb amerikai és dél-koreai kormányzati weboldalakat ásta.

A parancs- és vezérlőkiszolgálót utasításokat a zombi PC-kre, amelyek egy botnetet képeznek, amellyel a weboldalak forgalmát bombázhatják, így a webhelyek használhatatlanok. A szerver egy IP (Internet Protocol) címen volt, amelyet a Global Digital Broadcast, a Bkis szerint Brightonban működő IP TV technológiai vállalat használ.

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]

Ez a mester-kiszolgáló megosztotta az utasításokat a támadás során használt nyolc másik parancs- és vezérlőkiszolgálóra. A Bkis, amely a nyolc kiszolgáló közül kettőt irányított, azt mondta, hogy a támadásokban 166.908 csapkodott számítógépet használtak 74 országban, és három percenként új utasításokat kaptak.

De a főszerver nincs a UK; Tim Wray, a Digital Global Broadcast tulajdonosa, aki kedd este, londoni idő szerint beszélt az IDG News Service-lel.

A szerver a Digital Latin America (DLA), amely a Digital Global Broadcast partnerek. A DLA kódolja a latin-amerikai programozást az IP TV-kompatibilis készülékek, például a set-top boxok elosztására.

Az új műsorokat a műholdról vették és a megfelelő formátumba kódolták, majd a VPN (virtuális magánhálózat) ahol a Digital Global Broadcast elosztja a tartalmat, mondta Wray. A VPN-kapcsolat azt mutatta, hogy a főszerver a Digital Global Broadcast-hoz tartozott, amikor valójában a DLA Miami adatközpontjában van.

A digitális globális műsorszórással foglalkozó mérnökök gyorsan lemondtak arról, hogy a támadások az észak-koreai kormányból származtak, lehet a felelős.

Digitális globális műsorszórást értesítettek a tárhely szolgáltatója, a C4L, mondta Wray. Társaságát az U.K. Súlyos Szervezett Bűnügyi Ügynöksége (SOCA) is felvette. A SOCA tisztviselője elmondta, hogy nem tudja megerősíteni, vagy megtagadni a nyomozást. A DLA-tisztviselőket nem lehet azonnal elérni.

A nyomozóknak meg kell ragadniuk a mester szervert a törvényszéki elemzéshez. Ez gyakran verseny a hackerek ellen, mivel ha a kiszolgáló még mindig felügyelete alatt áll, akkor a kritikus adatokat törölni lehet, ami segíthet a nyomozásban.

"Ez egy fárasztó folyamat, és ezt a lehető leggyorsabban meg akarja csinálni" - mondta Jose Nazario, az Arbor Networks biztonsági kutatásának vezetője.

Az adatok, például a naplófájlok, az ellenőrzési nyomvonalak és a feltöltött fájlok keresését a nyomozók kérik, mondta Nazario. "A szent grál, amit keresel, kriminalistákból áll, amelyek rámutatnak arra, hogy a támadó mikor és mikor csatlakozott." A támadások lefolytatásához a hackerek egy viszonylag régi, "MyDoom" 2004. január. A MyDoom rendelkezik e-mail féregjelöléssel, és más rosszindulatú programokat is letölthet a számítógépre, és beprogramozható a webhelyek elleni támadások lefolytatására.

A támadásokban használt MyDoom változat elemzése nem hatásos. "Még mindig úgy gondolom, hogy a kód meglehetősen hanyag, és remélem, hogy [a hackerek] jó bizonyítékot hagynak" - mondta Nazario.