Yhdysvaltojen ja Korean verkkosivustojen hyökkäykset jättävät jälkikäteen

Etelä-Korean ja Yhdysvaltojen korkean profiilin verkkosivustojen hyökkäyksiä koskeva tutkimus on mutkikas, sähköinen hanhintaistelu, joka ei voi johtaa lopulliseen päättymiseen identiteetistä hyökkääjiä.

Tietokoneturva-asiantuntijat ovat eri mieltä DDOS-palvelun (hajautetun palvelunestohyökkäyksen) hyökkäysten taitotasosta, joka muutaman päivän kuluttua heinäkuun alussa aiheutti ongelmia joillekin kohdennetuille verkkosivustoille, mukaan lukien Etelä-Korean pankit, Yhdysvaltain valtion virastot ja tiedotusvälineet.

DDOS-hyökkäys toteutti botnet, tai joukko tietokoneita, jotka ovat saaneet haittaohjelmia, jotka ovat hakkaajan hallitsemia. Tämä haittaohjelma oli ohjelmoitu hyökkäämään verkkosivustoihin pommittamalla heitä sivupyynnöillä, jotka ylittävät tavallisen kävijämoliikenteen.

[

]

Vaikka päivittäin on satoja DDOS-hyökkäyksiä, viime kuussa on mielenkiintoisia ominaisuuksia.. Ensinnäkin se toteutettiin käyttämällä maailmanlaajuisesti jopa noin 180 000 tietokonetta, jotka sijaitsivat melkein kokonaan Etelä-Koreassa.

"On hyvin harvinaista, että tällainen koko on niin lokalisoitu", sanoi Shadowserver-säätiön Steven Adair, verkkorikollisuutta valvova ryhmä. "Suurten botnet-verkkojen verkkotunnukset yleensä vievät paljon aikaa ja hyökkääjiä paljon."

Ja peruskysymyksiin ei näytä vastaamatta, kuten kuinka hyökkääjät pystyivät tartuttamaan niin paljon tietokoneita Etelä-Koreassa tietokonekoodilla, joka ohjasi tietokoneet hyökkäämään verkkosivustojen luetteloon.

Tutkimuksella on geopoliittisia seurauksia. Etelä-Korean kansallisen tiedustelupalvelun raportti kertoi maan lainsäätäjille viime kuun alussa epäilevän, että Pohjois-Korea oli mukana. Huolimatta lopullisista julkisista todisteista, jotka yhdistävät Pohjois-Korean DDOS-hyökkäyksiin, maan vankka käytös tekee siitä kätevän näyttelijän syytettäviksi, kun otetaan huomioon sen suhde Yhdysvaltoihin ja Etelä-Koreaan.

Nyt botatiivi, joka on nyt passiivinen, näytti olevan räätälöity - rakennettu hyökkäyksille. Monta kertaa ihmiset, jotka haluavat lyödä verkkosivustoa offline-tilassa, vuokraavat aikaa botnesta sen ohjaajalta, joka tunnetaan botnet-isännäksi ja maksaa pienen maksun koneesta, esimerkiksi US $.20. Botneteita voidaan käyttää myös Internetin toimintaan, kuten roskapostin lähettämiseen.

Analyytikot tietävät, että botnet-tietokoneet olivat saaneet tartunnan MyDoomin muunnoksesta, joka paljastui haittaohjelmia, joka toistuvasti lähettää sähköpostin muille tietokoneille on tartuttanut tietokoneen. MyDoom esitteli tuhoisia seurauksia vuonna 2004, jolloin se tuli nopeimmin leviävän sähköpostin matoon historiassa. Se on nyt rutiininomaisesti puhdistettu tietokoneista, jotka käyttävät virustentorjuntaohjelmistoja, vaikka monilla tietokoneilla ei ole tällaista suojausohjelmistoa.

MyDoom-koodia on kutsuttu amatööri, mutta se oli kuitenkin tehokas. MyDoomilla infektoiduille tietokoneille annettuja ohjeita käsittelevä komento- ja ohjausrakenne käytti kahdeksan pääpalvelinta, jotka olivat hajallaan ympäri maailmaa. Mutta siellä oli myös labyrinttinen joukko alaisia ​​komento- ja ohjauspalvelimia, jotka vaikeuttivat jäljittämistä.

"On vaikea löytää todellista hyökkääjä", sanoo virus analyytikko ja turvallisuusinsinööri Sang-keun Jang Seurun toimipaikka Hauri.

IP-osoitteet (Internet-protokollat), jotka voivat parhaiten tunnistaa, missä tietokone on kytketty verkkoon, mutta ei sen tarkkaa sijaintia tai tietokoneen toimintaa, antavat vain tutkijoita paljon tietoa jatkaa. Avoimet Wi-Fi-hotspotit voivat sallia hyökkääjän muuttaa IP-osoitteita usein, sanoo Scott Borg, Yhdysvaltain Cyber ​​Consequences -yksikön johtaja ja pääekonomisti.

"Nimetön hyökkäys tulee olemaan elämän tosiasia", Borg sanoi. "Se on suuria poliittisia vaikutuksia, mutta jos et voi määritellä nopeasti ja luottamuksellisesti, useimmat torjuntaan perustuvat strategiat eivät ole enää toteuttamiskelpoisia, sillä on olemassa suuri vallankumous, joka on jo käynnissä ja joka on toteutettava puolustusajattelussa."

Etelä-Korean ja Yhdysvaltojen osalta DDOS-hyökkäykset, yksi vartiointiliike noudattaa rahan seurantaa. Monet DDOS-hyökkäykset ovat todellisuudessa maksettuja liiketoimia, ja jos on rahaa, on jonkin verran jälkiä.

"IP-osoitteiden käyttäminen ei ole kovinkaan hyödyllistä", Max Becker, Ultrascan Knowledge Process Outsourcingin petostentorjunnan yritys ultraskan. "Se, mitä yritämme tehdä, on mennä ihmisten, jotka perustavat ja maksavat tällaisista hyökkäyksistä."

Ultrascanilla on tietoverkko, joka on suljettu järjestäytyneille rikollisjoukkoille Aasiassa, joista monet ovat mukana tietoverkkorikollisuudessa, sanoi Frank Engelsman, tutkija Ultrascanin kanssa Hollannissa. Yksi kysymys on, voisiko Pohjois-Koreasta saada rikollisryhmä suorittamaan iskuja, Engelsman sanoi.

Se voi kestää paljon tutkimustyötä.

Cybercriminals tekevät virheitä, kuten aiemmin tänä vuonna, kun tutkijat paljastivat maailmanlaajuisen vakoilusovelluksen nimeltä GhostNet, joka tarttui tietokoneisiin, jotka kuuluvat tiibetiläisiin kansalaisjärjestöihin, Dalai Laman yksityiseen toimistoon ja suurlähetystöihin. yli kymmenkunta maata. Tutkijan Nart Villeneuven Google-haussa tuli esiin joitain pahimpia todisteita - hakukoneen indeksoima salaamaton palvelin.

Oikeinkirjoitusvirheistä, sähköpostiosoitteista koodausvirheihin hyökkääjät voivat jättää vihjeitä, jotka voivat kääntää kylmä polku kuuma.

"Tiedät, missä virheet todennäköisesti tehdään," sanoo Steve Santorelli, johtaja, maailmanlaajuinen tiedekunta Team Cymru, voittoa tavoittelematon Internet-turvallisuus tutkimusyhtiö. "Voit kääntää oikeat kalliot nopeasti."