Napadi na američke i korejske web stranice ostavljaju tračnice

Istraga o napadima na web stranice visokog profila u Južnoj Koreji i SAD-u je navijanje, twisty elektronička guska potjera koja ne može rezultirati konačnim zaključkom o identitetu napadača.

Računalni stručnjaci za sigurnost ne slažu se oko razine vještine napada DDOS-a (distribuiranih uskraćivanja usluga) koji su tijekom nekoliko dana početkom srpnja izazvali probleme za neke od ciljanih web stranica, uključujući Južnokorejskih banaka, američkih vladinih agencija i medija.

DDOS napad je izvršio botnet, ili grupa računala zaraženih zlonamjernim softverom pod kontrolom hakera. Taj zlonamjerni softver bio je programiran da napada web stranice bombardirajući ih sa zahtjevima stranice koji daleko nadilaze normalni promet posjetitelja.

[

] Iako postoje stotine DDOS napada koji se javljaju svaki dan, onaj iz prošlog mjeseca ima zanimljive karakteristike.

[Dodatna čitanja: Kako ukloniti zlonamjerni softver s vašeg Windows računala], Prvo, to je provedeno pomoću botneta od do približno 180.000 računala koja je gotovo u cijelosti locirana u Južnoj Koreji.

"Vrlo je rijetko vidjeti botnet takve veličine tako lokaliziran", rekao je Steven Adair od The Shadowserver Foundation, grupu za praćenje kibernetičkog kriminala. "Botneti velike veličine obično zauzimaju vremena za izgradnju i puno truda od napadača."

I čini se da osnovna pitanja nisu odgovorena, na primjer kako su napadači mogli zaraziti takav veliki broj računala u Južnoj Koreji s posebnim kodom koji je zapovijedao računalima da napadnu popis web stranica.

Istraga ima geopolitičke posljedice. Nacionalna obavještajna služba Južne Koreje navodno je priopćila zakonodavcima zemlje početkom prošlog mjeseca kako je sumnja da je Sjeverna Koreja bila uključena. Bez obzira na konačne javne dokaze koji povezuju Sjevernu Koreju s DDOS napadima, država tvrdnja ponašanja čini ga prikladnim glumcem koji je kriv zbog svojih prickly odnosa s SAD-om i Južna Koreja.

Botnet, koji je sada neaktivan, pojavio se kao običaj - izgrađen za napade. Mnogo puta ljudi koji žele kucati izvanmrežno web stranice će iznajmiti vrijeme na botnet od svog kontrolora, poznatog kao botnet herder, plaćajući malu naknadu po stroju, kao što je US $.20. Botnete se također mogu koristiti za internetsku aktivnost, kao što je slanje neželjenih poruka.

Analitičari znaju da su računala koja obuhvaćaju botnet zaražena varijacijom MyDoom, zlonamjernog softvera koji se više puta šalje drugim računalima zaražio je računalo. MyDoom je 2004. godine predstavio s poražavajućim posljedicama, postajući najbrži širenje e-mail crva u povijesti. Sada se rutinski čisti od računala koja pokreću protuvirusni softver, iako mnoga računala nemaju instaliran takav zaštitni softver.

MyDoom kôd zvao je amaterski, ali ipak je bio učinkovit. Struktura naredbe i kontrole za isporuku uputa na računala zaražena MyDoomom koristila je osam glavnih poslužitelja koji su bili raspršeni širom svijeta. Ali postoji i labirintska skupina podređenih zapovjednih i kontrolnih poslužitelja koja je otežavala traganje.

"Teško je pronaći pravi napadač", rekao je Sang-keun Jang, virusni analitičar i sigurnosni inženjer sa sigurnosnim tvrtka Hauri, sa sjedištem u Seoulu.

IP adresa (IP adresa) - koja najviše može identificirati otprilike gdje je računalo priključeno na mrežu, ali ne i precizno mjesto ili tko upravlja računalom - samo daju istražiteljima mnogo informacija za nastavak. Otvorene Wi-Fi vruće točke mogu dopustiti napadaču da često mijenja IP adrese, izjavio je Scott Borg, direktor i glavni ekonomist Ujedinjenog Kraljevstva Cyber ​​Consequences, neprofitnog istraživačkog instituta.

"Anonimni napadi bit će činjenica života", rekao je Borg. "To ima velike implikacije za politiku, a ako se ne možete pripisati brzo i pouzdano, onda većina strategija utemeljena na sprječavanju više nije održiva. Postoji velika revolucija koja je već u tijeku i treba biti provedena u našem obrambenom razmišljanju".

Za Južnu Koreju i SAD DDOS napada, jedna sigurnosna tvrtka poduzima pristup praćenju novca. Mnogi DDOS napadi zapravo su plaćeni transakcije, a gdje postoji novac, postoji neka staza. "" Odlazak na IP adrese nije doista korisno ", rekao je Max Becker, CTO Ultrascan Knowledge Process Outsourcing, podružnica tvrtke za istraživanje prijevara Ultrascan. "Ono što pokušavamo učiniti je ići nakon ljudi koji su postavili i platili takve napade."

Ultrascan ima mrežu informatora koji su zatvoreni za organizirane kriminalne skupine u Aziji, od kojih su mnoge uključene u cyber kriminal, rekao je Frank Engelsman, istražitelj s Ultrascanom sa sjedištem u Nizozemskoj. Jedno je pitanje je li se moglo dokazati da je Sjeverna Koreja platila kriminalnu skupinu za izvršavanje napada, rekao je Engelsman. "To bi moglo potrajati puno istražnih radova. Cybercriminals čine pogreške, kao što je ranije ove godine kada su istraživači otkrili globalnu špijunsku mrežu pod nazivom "GhostNet" koja je zaražena računalima iz tibetanskih nevladinih organizacija, privatnog ureda Dalaj Lame i veleposlanstava više od desetak zemalja. Google pretraživanje istraživača Nart Villeneuve pokazalo je neke od najoštrijih dokaza - nekodiranog poslužitelja indeksiranog od strane tražilice.

Iz pogrešaka u pisanju, na adrese e-pošte kodifikacijskih pogrešaka, napadači mogu ostaviti tragove koji bi mogli pretvoriti hladna staza vruća.

"Znaš gdje će se pogreške vjerojatno napraviti", rekao je Steve Santorelli, direktor globalne suradnje za tim Cymru, neprofitne tvrtke za istraživanje internetske sigurnosti. "Možete brzo preokrenuti desne stijene."

Santorelli je dodao: "Google ne zaboravlja ništa."