Нападения на сайты США, Кореи оставляют след извилистых

Расследование нападений на громких веб-сайтов в Южной Корее и США - извилистая, извилистая электронная охота на гусей, которая не может привести к окончательному выводу о личности злоумышленников.

Эксперты в области компьютерной безопасности не согласны с уровнем навыков DDOS (распределенных отказов в обслуживании), которые в течение нескольких дней в начале июля вызвали проблемы для некоторых целевых веб-сайтов, включая Южнокорейские банки, правительственные агентства США и средства массовой информации.

Атака DDOS была выполнена ботнетом или группой компьютеров, зараженных вредоносным программным обеспечением, контролируемым хакером. Это вредоносное ПО было запрограммировано на атаку на веб-сайты путем бомбардировки их запросами страниц, которые намного превышают обычный трафик посетителей. В результате некоторые из более слабых сайтов застегнулись.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Пока есть сотни DDOS-атак, которые происходят каждый день, у одного из последних месяцев есть интересные характеристики, Во-первых, это было выполнено с использованием ботнета до примерно 180 000 компьютеров, которые были почти полностью расположены в Южной Корее.

«Очень редко можно увидеть ботнет такого размера, который был локализован», - сказал Стивен Адэйр из The Shadowserver Foundation, группа сторожевого пса. «Большие ботнеты обычно требуют времени для наращивания и больших усилий со стороны атакующих».

И основные вопросы, как представляется, остаются без ответа, например, как злоумышленники могли заразить такое большое количество компьютеров в Южной Корее с определенным кодом, который заставил компьютеры атаковать список веб-сайтов.

Исследование имеет геополитические последствия. Согласно сообщениям, Национальная служба разведки Южной Кореи сообщила законодателям страны в начале прошлого месяца, что подозревает, что Северная Корея была вовлечена. Несмотря на отсутствие публичных доказательств, связывающих Северную Корею с DDOS-атаками, жесткое поведение страны делает его удобным актером, виноватым, учитывая его колючие отношения с США и Южной Кореей.

Ботнет, который сейчас неактивен, оказался обычным -строенный для атак. Много раз люди, которые хотят сбить веб-сайт в автономном режиме, будут арендовать время на ботнете от своего контроллера, известного как пастух ботнета, заплатив небольшую плату за машину, например, US $.20. Ботнеты также могут использоваться для интернет-активности, например, для отправки спама.

Аналитики знают, что компьютеры, входящие в бот-сеть, были заражены вариацией MyDoom, вредоносного программного обеспечения, которое повторно отправляет сообщения на другие компьютеры, когда оно заразил ПК. MyDoom дебютировал с разрушительными последствиями в 2004 году, став самым быстрорастущим червям электронной почты в истории. Теперь он регулярно очищается от ПК, на которых запущено антивирусное программное обеспечение, хотя на многих компьютерах такого защитного программного обеспечения не установлено.

Код MyDoom называется любительским, но он тем не менее эффективен. Структура команд для управления инструкциями для компьютеров, зараженных MyDoom, использовала восемь основных серверов, которые были разбросаны по всему миру. Но также была лабиринтная группа подчиненных серверов управления, что затрудняло отслеживание.

«Трудно найти настоящего злоумышленника», - сказал Санг-кун Чанг, аналитик по вирусам и инженер-охранник с защитой компания Hauri, расположенная в Сеуле.

IP-адреса (Интернет-протокол), которые в большинстве случаев могут идентифицировать примерно, где компьютер подключен к сети, но не его точное местоположение или кто работает на компьютере, - дают только следователям много информации для продолжения. «Горячие точки Wi-Fi» могут позволить злоумышленнику часто менять IP-адреса, сказал Скотт Борг, директор и главный экономист подразделения US Cyber ​​Consequences Unit, некоммерческого научно-исследовательского института.

«Анонимные атаки станут фактом жизни, - сказал Борг. «Это имеет большие политические последствия: если вы не можете быстро и уверенно относиться к этому, то большинство стратегий, основанных на сдерживании, более нежизнеспособны. Существует большая революция, которая уже началась и должна быть проведена в нашем защитном мышлении».

Для Южной Кореи-США DDOS-атаки, одна охранная компания придерживается подхода, следующего за деньгами. Многие DDOS-атаки являются фактически оплаченными транзакциями, а там, где есть деньги, есть некоторая тропа.

«Переход на IP-адреса не очень полезен», - сказал Макс Беккер, технический директор Ultrascan Knowledge Process Outsourcing, дочерней компании по проверке мошенничества Ultrascan. «То, что мы пытаемся сделать, - это идти за людьми, которые настраивают и оплачивают такие виды атак».

Ультракашэн имеет сеть осведомителей, которые закрыты для организованных преступных группировок в Азии, многие из которых участвуют в киберпреступности, - сказал Франк Энгельсман, следователь из Ultrascan, базирующийся в Нидерландах. Один вопрос заключается в том, можно ли доказать, что Северная Корея заплатила преступную группу за теракты, сказал Энгельсман.

Это может занять много следственной работы. Но это может быть проще.

Киберпреступники совершают ошибки, например, в начале этого года, когда исследователи обнаружили глобальную шпионскую сеть под названием «GhostNet», которая заразила компьютеры, принадлежащие тибетским неправительственным организациям, частную службу Далай-ламы и посольства более десятка стран. Поиск Google исследователем Nart Villeneuve показал некоторые из самых проклятых доказательств - незашифрованный сервер, проиндексированный поисковой системой.

Из ошибок орфографии, адресов электронной почты и ошибок кодирования злоумышленники могут оставить ключи, которые могут холодная тропа горячая.

«Вы знаете, где могут быть допущены ошибки», - сказал Стив Санторелли, директор по глобальному охвату Team Cymru, некоммерческой исследовательской фирмы по интернет-безопасности. «Вы можете быстро перевернуть правильные скалы».

И Санторелли добавил: «Google ничего не забывает».