Istraživanje u cyberattacks se proteže diljem svijeta

Britanske vlasti pokrenule su istragu o nedavnim kibernetskim napadima na kojima su srušene web stranice u SAD-u i Južnoj Koreji, kao trag za pronalaženje počinitelja diljem svijeta.

U utorak, vijetnamski sigurnosni dobavljač Bach Khoa Internetwork Security (Bkis) izjavio je da je identificirao poslužitelj za nadzor i kontrolu koji je upotrijebljen za usklađivanje napada uskrata-posluživanja, koji je ukinuo velike internetske stranice američke i južnokoreanske vlade.

Poslužitelj naredbe i kontrole se koristi za distribuciju upute zombičkim računalima, koje čine botnet koji se može koristiti za bombardiranje web stranica sa prometom, čime stranice postaju beskorisne. Poslužitelj je na adresi IP (Internet Protocol) koji koristi Global Digital Broadcast, tvrtka IP TV tehnologije sa sjedištem u Brightonu u Engleskoj, prema Bkis.

[Dodatna čitanja: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Taj glavni poslužitelj distribuira upute za osam drugih poslužitelja za nadzor i upravljanje koje se koriste u napadima. Bkis, koji je uspio steći kontrolu nad dvama od osam poslužitelja, rekao je da je u napadima bilo 166.908 hakiranih računala u 74 zemlje, a programirano je da dobije nove upute svake tri minute.

Ali glavni poslužitelj nije u Velika Britanija; to je u Miamiju, kaže Tim Wray, jedan od vlasnika digitalnog globalnog prijenosa koji je u utorak navečer, Londonu, razgovarao s IDG News Serviceom.

Poslužitelj pripada Digital Latin America (DLA), koji je jedan od digitalnih Partneri Global Broadcasta.

Novi programi snimljeni su iz satelita i kodirani u odgovarajući format, a zatim poslani putem VPN-a (Virtual Private Network) u Velikoj Britaniji, gdje Digital Global Broadcast distribuira sadržaj, rekao je Wray. VPN veza je činila da se glavni poslužitelj pripada digitalnom globalnom prijenosu, kada se nalazi u DLA-inom podatkovnom centru u Miamiju.

Inženjeri iz digitalnog globalnog prijenosa brzo su diskontirali da su napadi potekli od sjevernokorejske vlade koju su južnokorejske vlasti predložile može biti odgovoran.

Digitalni globalni prijenos je obavijestio o problemu njegovog pružatelja hostinga, C4L, rekao je Wray. Također je kontaktirala njegova tvrtka s Agencijom za ozbiljnu organizaciju kriminaliteta (SOCA) Ujedinjenog Kraljevstva. Socijalni dužnosnik izjavio je da ne može potvrditi ili odbiti istragu. Dužnosnici DLA-e nisu mogli odmah biti postignuti.

Istražitelji će morati uhvatiti taj glavni poslužitelj za forenzičku analizu. Često je utrka protiv hakera, jer ako je poslužitelj još uvijek pod njihovom kontrolom, kritični podaci se mogu izbrisati, što bi im pomoglo u istrazi. "" To je dosadan proces i želite to učiniti što je brže moguće ", rekao je. Jose Nazario, voditelj istraživanja sigurnosti za Arbor Networks.

Podaci poput log datoteka, revizijskih staza i prenesenih datoteka bit će traženi od strane istražitelja, rekao je Nazario. "Sveti gral koji tražite jesu komadi forenzičara koji otkrivaju gdje se napadač povezao od kada i kada", rekao je.

Za provođenje napada, hakeri su izmijenili relativno stari zlonamjerni program pod nazivom MyDoom, koji se prvi put pojavio u Siječnja 2004. MyDoom ima obilježja crva e-pošte i također može preuzeti druge zlonamjerne programe na računalo i biti programiran da provede napade uskrate-od-posluživanja protiv web stranica.

Analiza varijante MyDoom koja se koristi u napadima nije impresivan. "Još uvijek mislim da je šifra prilično neuredna, što se nadam da će oni [hakeri] ostaviti dobar trag dokaza", rekao je Nazario.