Cyberattacksin tutkimukset ulottuvat ympäri maailmaa

Britannian viranomaiset ovat käynnistäneet tutkimukset viimeaikaisista verkkouriskuista, jotka ovat runnutut WWW-sivustoja Yhdysvalloissa ja Etelä-Koreassa, kuten reitin tekijöiden etsimiseksi ympäri maailmaa.

Vietnamin tietoturvatoimittaja Bach Khoa Internetwork Security (Bkis) kertoi tunnistanut pääkäyttäjä-ja -ohjauspalvelimen, joka käytti palvelunestohyökkäysten koordinointia, mikä merkitsi suuria Yhdysvaltojen ja Etelä-Korean hallituksen verkkosivustoja.

Komento-ja -ohjauspalvelinta käytetään jakamaan ohjeita zombie-tietokoneille, jotka muodostavat botnetin, jota voidaan käyttää verkkosivustojen pilkkomiseen liikenteeseen, mikä tekee sivustot hyödyttömiksi.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

(englanninkielinen)

> Tämä pääkäyttäjä jakoi ohjeet kahdeksalle komentosillalle, joita käytetään hyökkäyksissä. Bkis, joka onnistui hallitsemaan kahta kahdeksasta palvelimesta, sanoi, että hyökkäyksissä käytettiin 166 908 hakkeria tietokonetta 74 maassa, ja ne on ohjelmoitu saamaan uusia ohjeita kolmen minuutin välein.

Mutta pääpalvelin ei ole UK; se on Miami, Tim Wray, yksi digitaalisen yleisradiotoiminnan omistajista, joka puhui IDG News Serviceille tiistai-iltana, lontoolaisena.

Palvelin kuuluu Digital Latin America (DLA), joka on yksi Digital Global Broadcastin kumppanit.

Uudet ohjelmat otetaan satelliitista ja koodataan oikeaan muotoon, lähetetään sitten VPN: lle (Virtual Private Network) Isossa-Britanniassa, jossa Digital Global Broadcast jakaa sisällön, Wray sanoi. VPN-yhteyden ansiosta pääkonttori kuului Digital Global Broadcast -palveluun, kun se todellisuudessa on DLA: n Miami-datakeskuksessa.

Digital Global Broadcastin insinöörit aloittivat nopeasti, että hyökkäykset ovat peräisin Pohjois-Korean hallituksesta, jota Etelä-Korean viranomaiset ovat ehdottaneet voi olla vastuussa.

Digital Hosting lähetti palveluntarjoajansa C4L: stä, Wray sanoi. Hänen yhtiömme on myös ottanut yhteyttä U.K: n vakavasta järjestäytyneestä rikollisjärjestöstä (SOCA). SOCA: n virkamies sanoi, ettei hän voinut vahvistaa tai kieltää tutkimusta. DLA: n virkamiehiä ei voitu välittömästi saavuttaa.

Tutkijat joutuvat tarttumaan tähän isäntäpalvelimeen rikostekniseen analyysiin. Se on usein kilpailu hakkereita vastaan, sillä jos palvelin on edelleen hallinnassaan, kriittiset tiedot voidaan poistaa, mikä auttaisi tutkimusta.

"Se on tylsi prosessi, ja haluat tehdä sen mahdollisimman nopeasti", sanoi Arbor Networksin turvallisuustutkimuksen johtaja Jose Nazario

Tutkijat etsivät tietoja, kuten lokitiedostoja, tarkastuspolkuja ja ladattuja tiedostoja, Nazario sanoi. "Pyhää raidetta, jota etsit, ovat rikollisjoukkoja, jotka paljastavat, missä hyökkääjä on yhteydessä ja milloin," hän sanoi.

Hyökkäysten suorittamiseksi hakkerit muokkivat suhteellisen vanhaa haittaohjelmia nimeltä MyDoom, Tammikuussa 2004. MyDoomissa on sähköpostiroolin ominaisuuksia ja se voi myös ladata muita haittaohjelmia tietokoneelle ja olla ohjelmoitu suorittamaan palvelunestohyökkäyksiä verkkosivustoja vastaan.