Расследование в кибератаках Растяжки по всему миру

Британские власти начали расследование недавних кибератаков, которые привели к искажению веб-сайтов в США и Южной Корее, поскольку след, чтобы найти преступников, простирается по всему миру.

Во вторник вьетнамский поставщик безопасности Bach Khoa Internetwork Security (Bkis) сказал, что он определил мастер-сервер управления и управления, используемый для координации атак типа «отказ в обслуживании», в результате чего были уничтожены основные веб-сайты правительства США и Южной Кореи.

Сервер управления и управления используется для распространения инструкции для ПК-зомби, которые образуют бот-сеть, которая может использоваться для бомбардировки веб-сайтов с трафиком, что делает сайты бесполезными. Сервер был на IP-адресе (интернет-протокол), используемом компанией Global Digital Broadcast, компанией по технологии IP-телевидения, расположенной в Брайтоне, Англия, согласно Bkis.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Этот главный сервер распределял инструкции на восемь других серверов управления и управления, используемых в атаках. Bkis, которому удалось получить контроль над двумя из восьми серверов, сказал, что в этих атаках было использовано 166 908 взломанных компьютеров в 74 странах и запрограммированы на получение новых инструкций каждые три минуты.

Но главный сервер не находится в ВЕЛИКОБРИТАНИЯ; это в Майами, по словам Тима Врей, одного из владельцев Digital Global Broadcast, который беседовал с News News во вторник вечером в Лондоне.

Сервер принадлежит к Digital Latin America (DLA), который является одним из цифровых Партнеры Глобального вещания. DLA кодирует латиноамериканское программирование для распространения по устройствам с поддержкой IP-телевидения, например телеприставки.

Новые программы берутся со спутника и кодируются в надлежащий формат, а затем отправляются через VPN (виртуальная частная сеть) в Великобританию, где Digital Global Broadcast распространяет контент, сказал Wray. VPN-соединение показало, что главный сервер принадлежал Digital Global Broadcast, когда он действительно находится в центре данных DLA в Майами.

Инженеры Digital Global Broadcast быстро обесценили, что атаки возникли в правительстве Северной Кореи, которые, по мнению южнокорейских властей может быть ответственным.

Digital Global Broadcast была уведомлена о проблеме своим хостинг-провайдером, C4L, сказал Wray. С его компанией также связалось Агентство по борьбе с организованной преступностью (SOCA) У.К. Официальный представитель SOCA заявил, что не может подтвердить или опровергнуть расследование. Должностные лица DLA не могли быть немедленно достигнуты.

Следователи должны будут захватить этот главный сервер для судебного анализа. Часто это гонка против хакеров, поскольку, если сервер все еще находится под их контролем, критические данные могут быть удалены, что поможет расследованию.

«Это утомительный процесс, и вы хотите сделать это как можно быстрее», - сказал Хосе Назарио, менеджер по исследованиям в области безопасности для Arbor Networks.

Данные, такие как файлы журналов, контрольные журналы и загруженные файлы, будут запрашиваться следователями, сказал Назарио. «Святой Грааль, которого вы ищете, - это части судебной экспертизы, которые показывают, откуда нападавший подключился и когда», сказал он.

Для проведения атак хакеры модифицировали относительно старый вредоносный код под названием MyDoom, который впервые появился в Январь 2004. MyDoom имеет характеристики червя электронной почты, а также может загружать другие вредоносные программы на ПК и быть запрограммирован на проведение атак типа «отказ в обслуживании» на веб-сайтах.

Анализ варианта MyDoom, используемого при атаках, впечатляет. «Я все еще думаю, что код довольно неряшливый, и я надеюсь, что они [хакеры] оставляют хороший след доказательств», сказал Назарио.