חקירה לתוך Cyberattacks מתיחה ברחבי העולם

הרשויות הבריטיות פתחו בחקירה של ההתקפות הקיברנטיות האחרונות, אשר פגמו אתרי אינטרנט בארה"ב ובדרום קוריאה, כדרך למצוא את הפושעים משתרעים על פני העולם.

ביום שלישי, סוכן האבטחה הווייטנאמי באך קואה אינטרנשיונל סקיוריטי (Bkis)) אמר כי הוא זיהה שרת פיקוד ושליטה ראשי ששימש לתיאום התקפות של מניעת שירות, שהורידו את אתרי האינטרנט העיקריים של ממשלת ארה"ב ודרום קוריאה.

שרת פקודות ובקרה משמש להפיץ הוראות מחשבים זומבי, המהווים botnet כי ניתן להשתמש כדי להפציץ אתרי אינטרנט עם התנועה, טיוח האתרים חסרי תועלת. השרת היה על כתובת IP (פרוטוקול אינטרנט) המשמשת את Global Digital Broadcast, חברת טכנולוגיית IP TV שבסיסה בברייטון, אנגליה, על פי Bkis. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

שרת מאסטר זה חילק הוראות לשמונה שרתי פקודה ושליטה אחרים שהיו בשימוש בהתקפות. Bkis, שהצליחה להשיג שליטה על שניים משמונת השרתים, אמרה כי 166,908 מחשבים פרוצים ב -74 מדינות היו בשימוש בהתקפות, ותוכננו לקבל הוראות חדשות כל שלוש דקות.

אבל השרת הראשי אינו נמצא בְּרִיטַנִיָה; זה מיאמי, על פי טים ריי, אחד הבעלים של Digital Global Broadcast, שדיבר עם IDG News Service ביום שלישי בערב, זמן בלונדון.

השרת שייך אמריקה הלטינית הדיגיטלית (DLA), שהיא אחת דיגיטלי השותפים של Global Broadcast. DLA מקודד את התכנות הלטינו-אמריקאיות להפצה על התקני IP תואמים, כגון תיבות ממיר.

תוכניות חדשות נלקחות מהלוויין ומקודדות לתבנית הנכונה, ולאחר מכן נשלחות אל VPN (Virtual Private Network) לבריטניה, שבו Digital Global Broadcast מפיצה את התוכן, אמר ריי. חיבור ה- VPN גרם לכך שהשרת הראשי שייך ל- Digital Global Broadcast כאשר הוא נמצא במרכז הנתונים של מיאמי של DLA.

מהנדסים מ- Digital Global Broadcast הפחיתו במהרה את ההתקפות שמקורן בממשלה הצפון קוריאנית, יכול להיות אחראי.

Digital Global Broadcast קיבלה הודעה על בעיה על ידי ספק האירוח שלה, C4L, אמר Wray. החברה שלו גם פונה על ידי הסוכנות הפדרלית החמורה מאורגן פשע (SOCA) של U.K. פקידה של סוכנות סוק"א אמרה שהיא לא יכולה לאשר או להכחיש חקירה. לא ניתן להגיע באופן מיידי למפקדי DLA.

החוקרים יצטרכו לתפוס את השרת הראשי לצורך ניתוח משפטי. זה בדרך כלל מרוץ נגד האקרים, כי אם השרת עדיין בשליטתם, ניתן למחוק נתונים קריטיים שיעזרו בחקירה. "זה תהליך מייגע ואתה רוצה לעשות את זה מהר ככל האפשר", אמר. חוזה נזריאו, מנהל מחקר האבטחה של ארבור נטוורקס.

נתונים כמו קובצי יומן, שבילי ביקורת וקבצים שהועלו יחפשו על ידי חוקרים, אמר Nazario. "הגביע הקדוש שאתה מחפש הוא פיסות של זיהוי פלילי שחושפות היכן התוקף קשור ומתי", אמר. "כדי לבצע את ההתקפות, האקרים שינו פיסת תוכנה זדונית ישנה יחסית בשם MyDoom, שהופיעה לראשונה ינואר 2004. MyDoom יש תכונות דואר אלקטרוני תולעת יכול גם להוריד תוכנות זדוניות אחרות למחשב ולהיות מתוכנת לבצע התקפות של מניעת שירות נגד אתרי אינטרנט.

ניתוח של גרסת MyDoom המשמשים את ההתקפות היא לא כי מרשימים. "אני עדיין חושב שהקוד די מרושל, ואני מקווה שהם מתכוונים להשאיר עקבות טובים", אמר נזאריו.