Онлайн-атаки Интернет-сайты правительства США

Ботнет состоящий из около 50 000 зараженных компьютеров, вел войну против веб-сайтов правительства США и вызывая головные боли для бизнеса в США и Южной Корее.

Атака началась в субботу, и эксперты по безопасности приписали ее с ударом Федеральной торговой комиссии США (FTC's) в режиме онлайн для частей в понедельник и вторник. Также были нацелены несколько других правительственных веб-сайтов, в том числе Министерство транспорта США (DOT).

«DOT переживает сетевые инциденты с этого минувшего уик-энда. Мы работаем с командой США по готовности к компьютерной готовности [US-CERT] в это время », - сказала во вторник пресс-секретарь DOT.

[Читать дальше: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Пресс-секретарь Департамента казначейства США подтвердила, что веб-сайт Казначейства был поражен атака отказа в обслуживании. «Мы работаем с нашим поставщиком услуг, чтобы смягчить последствия», - сказала она.

Пресс-секретарь FTC не смогла сказать, что вызвало провал на веб-сайте этого агентства.

Анализ атак

Более полный список сайтов США и Южной Кореи, нацеленных на атаку, был опубликован корейским блоггером, который опубликовал анализ кода ботнета. Согласно этому списку, Amazon и Yahoo также были нацелены.

Департамент внутренней безопасности США (DHS), который управляет US-CERT, заявил в конце вторника, что он предупредил федеральные агентства и партнерские организации и работает над смягчением атака. «Мы ежедневно наблюдаем атаки на федеральные сети, и меры по их устранению сводят к минимуму воздействие на федеральные веб-сайты», - говорится в заявлении DHS. «US-CERT будет продолжать работать со своими федеральными партнерами и частным сектором для решения этой задачи».

Атака, в то время как мощная, не особенно сложна и, похоже, является скорее неприятностью, чем угрозой безопасности. Он использует множество известных распределенных атак типа «отказ в обслуживании» (DDoS), которые пытаются подавить веб-сайты бесполезными запросами и сделать их недоступными для законных пользователей, говорят эксперты по безопасности. Большинство целевых сайтов в США, по-видимому, нормально работали во вторник.

Однако атака оказала гораздо большее влияние на Южную Корею, где она стала главной новостью после того, как несколько известных сайтов остались в оффлайне в среду, по местному времени. Южнокорейские сайты впервые попали во вторник, спустя несколько дней после того, как американская часть атаки началась.

Веб-сайт для президента Южной Кореи, Голубой дом, а также для Национальной ассамблеи и Министерства национальной обороны были отключены в среду обеденный перерыв. Также недоступной была домашняя страница Великой национальной партии и национальной газеты Chosun Ilbo

Индекс угроз безопасности в Корейском интернет-центре безопасности был установлен «существенным», что составляет середину пяти уровней и означает региональные проблемы безопасности в Интернете. Он рекомендует всем интернет-пользователям принять срочные меры безопасности.

Атака также ударила по электронным банковским сайтам Корейского обменного банка, Shinhan Bank и NongHyup Bank и сняла веб-сайт вооруженных сил США.

Необычные аспекты

Такие атаки DDoS относительно распространены, но некоторые вещи делают инцидент на этой неделе необычным. По словам Джо Стюарта (Joe Stewart), исследователя с SecureWorks, который просмотрел код, код бот-сети, лежащий в основе атаки, не использует типичные методы антивирусного уклонения и, похоже, не был написан профессиональным писателем вредоносного ПО.

В субботу и воскресенье атака потребляла от 20 до 40 ГБ в секунду полосы пропускания, что примерно в 10 раз превышает скорость типичной атаки DDoS, сказал один эксперт по безопасности после того, как он был проинформирован US-CERT во вторник. «Это самое большое, что я видел», - сказал эксперт, который попросил не быть идентифицированным, потому что он не был уполномочен обсуждать этот вопрос. По его словам, во вторник он составлял в среднем около 1,2 ГБ в секунду.

Эксперты по безопасности оценивают размер ботнета где-то между 30 000 и 60 000 компьютеров.

Также необычно видеть относительно низкопрофильные правительственные веб-сайты. «Кто идет вокруг таргетинга на сайт, например, FAA или министерство финансов США? Это не то, что большинство людей думало бы атаковать», - сказал Стюарт.

В прошлом FTC предпринимал действия против спамеров и интернет-мошенников. В прошлом месяце закрыл провайдер Интернет-услуг под названием Pricewert, который был связан с ботнетами, спамом и детской порнографией.

Виновники Still Anonymous

Никто не знает, кто стоит за атакой, хотя Стюарт сказал, что это могло быть начато

«Мне просто кажется, что кто-то по какой-то причине сходит с ума в капиталистических правительствах», - сказал он. Эксперты по вопросам безопасности говорят, что большинство зараженных машин расположены в Южной Корее, но это не означает, что там произошла атака.

Тот факт, что атака DDoS сбила правительственные компьютеры, является смущением для США, которая работает над укреплением защита от кибербезопасности в стране при президенте Бараке Обаме.

«Это очень простые атаки и то, что мы видели в течение очень долгого времени. Масштабы этих показателей также не очень велики», - сказал один эксперт по вопросам безопасности, который говорил на условиях анонимности, поскольку он не был уполномочен публично обсуждать этот вопрос. «Неловко, что эти сайты пострадали в течение четырех или пяти дней, и они все еще страдают. Подумайте о деньгах, которые eBay и Amazon потеряют за четыре-пять дней».

(Грант Гросс в Вашингтоне и Нэнси Горинг в Сиэтле способствовала этой истории.)