Online-hyökkäys kohdistuu Yhdysvaltain hallituksen verkkosivustoihin

joka on noin 50 000 tartunnan saaneesta tietokoneesta, on harjoittanut sotaa Yhdysvaltain hallituksen verkkosivustoja vastaan ​​ja aiheuttanut päänsärkyä Yhdysvalloissa ja Etelä-Koreassa toimiville yrityksille.

Hyökkäys alkoi lauantaina ja turvallisuusasiantuntijat ovat hyvittäneet sen kaatamalla Yhdysvaltain liittovaltion kauppakomission (FTC: n) verkkosivusto offline-tilassa maanantaina ja tiistaina. Useita muita hallituksen verkkosivustoja on myös kohdennettu, mukaan lukien Yhdysvaltain liikenneministeriö (DOT).

"DOT on kokenut verkkoonnettomuuksia viime viikonloppuna, ja työskentelemme Yhdysvaltojen tietokonehuollon valmiusryhmän kanssa [US-CERT] tällä hetkellä ", DOT: n tiedottaja sanoi tiistaina.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Yhdysvaltain valtiovarainministeriön tiedottaja vahvisti, että Treasuryn verkkosivusto oli osunut palvelunestohyökkäys.

FTC: n tiedottaja ei voinut sanoa, mikä aiheutti tämän toimiston verkkosivustolle aiheutuneen katkoksen.

Hyökkäysten analysointi

Lisää Täydellinen luettelo hyökkäyksistä kohdistetuista Yhdysvaltain ja Etelä-Korean sivustoista on julkaissut korealainen bloggaaja, joka julkaisi botnet-koodin analyysin. Tämän luettelon mukaan Amazon ja Yahoo ovat myös kohdistuneet.

US-CERT: n Yhdysvaltain Department of Homeland Security (DHS) ilmoitti myöhään tiistaina, että se oli varoittanut liittovaltion virastoja ja kumppanuusjärjestöjä ja pyrkii lieventämään hyökkäys. "Näemme liittovaltion verkkoihin kohdistuvia hyökkäyksiä joka päivä, ja käytössä olevat toimenpiteet ovat minimoineet vaikutus liittovaltion verkkosivustoille", DHS totesi lausunnossaan. "US-CERT jatkaa yhteistyötään liittovaltion kumppaneidensa ja yksityisen sektorin kanssa tämän toiminnan käsittelemiseksi."

Hyökkäys, vaikka voimakas, ei ole erityisen hienostunut ja näyttää olevan enemmän haittaa kuin turvallisuusuhka. Se käyttää useita tunnettuja DDoS-hyökkäyksiä, jotka yrittävät hukuttaa sivustoja hyödyttömillä pyynnöillä ja tehdä niistä saataville laillisille käyttäjille, tietoturva-asiantuntijat sanovat. Suurin osa Yhdysvalloissa kohdistetuista kohteista näytti toimivan normaalisti tiistaina.

Hyökkäyksessä oli kuitenkin paljon suurempi vaikutus Etelä-Koreaan, jossa se oli huippuhistoria, kun useat näkyvä sivustot pysyivät offline-keskiviikkona, paikallista aikaa. Etelä-Korean sivustoja lyötiin ensimmäisen kerran tiistaina, useita päiviä sen jälkeen, kun Yhdysvaltojen osuus hyökkäyksestä alkoi.

Etelä-Korean presidentin, Blue Housein ja kansalliskokouksen ja puolustusministeriön verkkosivut olivat kaikki offline-tilassa keskiviikkona lounasaikaan. Myöskään Grand National Partyin kotisivua ja Chosun Ilbon kansallista sanomalehteä

Korean Internet Security Centerin tietoturva-indeksi asetettiin "merkittäväksi", joka on viiden tason keskellä ja merkitsee alueellisia Internet-tietoturvaongelmia. Se kehottaa kaikkia Internetin käyttäjiä ryhtymään kiireellisiin turvatoimiin.

Hyökkäys osui myös Korean Exchange Bankin, Shinhan Bankin ja NongHyup Bankin sähköisiin pankkialueisiin ja laski Yhdysvaltain puolustusvoimien Korean verkkosivuston.

Epätavalliset näkökohdat

Tällaiset DDoS-hyökkäykset ovat melko yleisiä, mutta muutama asia tekee tämän viikon tapahtuman epätavalliseksi. Hyökkäyksen taustalla oleva botnet-koodi ei käytä tyypillisiä virustentorjuntatekniikoita, eikä ammattitason haittaohjelmien kirjoittaja ole näyttänyt kirjoittaneen koodin tutkittavaksi tulevan SecureWorksin tutkijan Joe Stewartin mukaan.

Lauantaina ja sunnuntaina hyökkäys käytti 20 - 40 gigatavua sekunnissa kaistanleveyttä, noin 10 kertaa tyypillisen DDoS-hyökkäyksen nopeudesta, kertoi yksi tietoturva-asiantuntija, kun Yhdysvaltain CERT ilmoitti tiistaina. "Se on suurin, mitä olen nähnyt", kertoi asiantuntija, joka pyysi, ettei häntä tunnisteta, koska hänellä ei ollut lupaa keskustella asiasta. Tiistaina se oli keskimäärin noin 1,2 Gt sekunnissa, hän sanoi.

Turvallisuusasiantuntijat arvioivat botnet-kokoa jonnekin 30 000 - 60 000 tietokoneen välillä.

On myös epätavallista nähdä, että suhteellisen matalaprofiiliset julkiset verkkosivustot osuvat. "Kuka lähtee suunnittelemaan sivustoa kuten FAA: n tai Yhdysvaltain valtiovarainministeriön? Se ei ole jotain, mitä useimmat ihmiset ajattelevat hyökkäävän", Stewart sanoi.

FTC aiemmin on tuonut toimijoita roskapostittajiin ja Internetin väärinkäyttäjiin. Viime kuukausi se sulki Internet-palveluntarjoajan Pricewertin, joka oli liittynyt botnet-, roskaposti- ja lapsipornografiaan.

Syyttää edelleen nimettömänä

Kukaan ei tiedä, kuka on hyökkäyksen takana, vaikka Stewart sanoi, että se olisi voinut olla käynnistetty vain yksi henkilö.

"Minusta tuntuu siltä, ​​että joku on jostain syystä päätynyt kapitalistisiin hallituksiin", hän sanoi. Tietoturva-asiantuntijat sanovat, että suurin osa tartunnan saaneista koneista sijaitsee Etelä-Koreassa, mutta se ei tarkoita sitä, että hyökkäys syntyi siellä.

Se, että DDoS-hyökkäys otti hallintotietokoneita, on hämmennys Yhdysvaltoihin, joka pyrkii vahvistamaan maan kyberturvallisuuden puolustus presidentti Barack Obaman johdolla.

"Nämä ovat hyvin yksinkertaisia ​​hyökkäyksiä ja tavaroita, joita olemme nähneet jo kauan. Myös niiden laajuus ei ole kovin suuri", sanoo yksi turvallisuusasiantuntija puhui nimettömyyden ehdoilla, koska hänellä ei ollut valtuuksia keskustella asiasta julkisesti. "Se on noloa, että näitä sivustoja on lyöty neljä tai viisi päivää, ja heillä on edelleen vaikutusta. Ajattele rahaa, jonka eBay ja Amazon menettäisivät neljän tai viiden päivän aikana."

(Grant Gross Washingtonissa ja Nancy Gohring Seattlessa osallistui tähän tarinaan.)