Angreb på USA, Korea Websteder Efterlade en Winding Trail

Undersøgelsen af ​​angrebene på højt profilerede websteder i Sydkorea og USA er en snoede, snoet elektronisk gåsejag, der måske ikke resulterer i en endelig konklusion om identiteten af angriberne.

Computersikkerhedseksperter er uenige om færdighedsniveauet i DDOS-angrebene (distributed denial-of-service), som i løbet af få dage i begyndelsen af ​​juli forårsagede problemer for nogle af de målrettede websteder, herunder Sydkoreanske banker, amerikanske myndigheder og medier.

DDOS-angrebet blev udført af en botnet eller en gruppe af computere inficeret med ondsindet software, der blev styret af en hacker. Denne malware var programmeret til at angribe webstederne ved at bombardere dem med sideforespørgsler, der langt overstiger normal trafik for besøgende. Som følge heraf bukkede nogle af de svagere steder.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Mens der er hundredvis af DDOS-angreb, der forekommer hver dag, har den fra sidste måned haft interessante egenskaber. For det første blev det udført ved hjælp af et botnet på op til ca. 180.000 computere, der næsten helt var beliggende i Sydkorea.

"Det er meget sjældent at se en botnet af den størrelse så lokaliseret," sagde Steven Adair fra The Shadowserver Foundation, en cybercrime watchdog gruppe. "Big-size botnets tager normalt tid til at bygge op og en stor indsats fra angriberne."

Og grundlæggende spørgsmål synes at være ubesvarede, f.eks. Hvordan angriberne kunne inficere et så stort antal computere i Sydkorea med den specifikke kode, der commandeered computerne til at angribe en liste over websteder.

Undersøgelsen har geopolitiske forandringer. Sydkoreas National Intelligence Service fortalte fortalte landets lovgivere tidligt i sidste måned, at det mistænkte, at Nordkorea var involveret. På trods af, at der ikke er noget offentligt bevis, der forbinder Nordkorea med DDOS-angrebene, gør landets hårde opførsel det til en bekvem skuespiller skylden i betragtning af sine stædige forbindelser med USA og Sydkorea.

Botnet, som nu er inaktivt, syntes at være brugerdefineret -built for angrebene. Mange gange vil folk, der ønsker at banke et websted offline, leje tid på en botnet fra sin controller, kendt som en botnetherder, og betaler et mindre gebyr pr. Maskine, som f.eks. US $.20. Botnets kan også bruges til internetaktivitet, såsom at sende spam.

Analytikere ved, at computerne, der omfattede botnet, var blevet inficeret med en variant af MyDoom, et stykke ondsindet software, der gentagne gange mails sig ud til andre computere, når det er har inficeret en pc MyDoom debuterede med ødelæggende konsekvenser i 2004, og blev den hurtigst spredte e-mail-orm i historien. Det er nu rutinemæssigt renset fra pc'er, der kører antivirusprogram, selv om mange computere ikke har sådan beskyttelsessoftware installeret.

MyDoom-koden er blevet kaldt amatørlig, men det var ikke desto mindre effektiv. Kommandoen og kontrolstrukturen til at levere instruktioner til computere inficeret med MyDoom brugte otte hovedservere, der var spredt over hele verden. Men der var også en labyrintisk gruppe af underordnede kommando- og kontrolservere, der gjorde det vanskeligere at spore.

"Det er svært at finde den rigtige angriber," sagde Sang-keun Jang, en virusanalytiker og sikkerhedsingeniør med sikkerhed firmaet Hauri, der ligger i Seoul.

IP (Internet Protocol) adresser - som højst kan identificere hvor en computer er tilsluttet et netværk, men ikke dets præcise placering eller som driver computeren - giver kun efterforskere meget information at fortsætte. Open Wi-Fi hotspots kan gøre det muligt for en hacker at ændre IP-adresser ofte, siger Scott Borg, direktør og cheføkonom for US Cyber ​​Consequences Unit, et nonprofit forskningsinstitut.

"Anonyme angreb vil være en kendsgerning i livet," sagde Borg. "Det har store politiske konsekvenser. Hvis du ikke kan tildele hurtigt og med tillid, så er de fleste strategier baseret på afskrækkelse ikke længere levedygtige. Der er en stor revolution, der allerede er i gang og skal udføres i vores forsvarstænkning."

For Sydkorea-USA DDOS-angreb, tager et sikkerhedsselskab tilgang til at følge pengene. Mange DDOS-angreb er faktisk betalt transaktioner, og hvor der er penge, er der noget spor.

"At gå efter IP-adresser er ikke særlig nyttigt", sagde Max Becker, CTO for Ultrascan Knowledge Process Outsourcing, et datterselskab af svindelundersøgelsesfirma Ultrascan. "Hvad vi forsøger at gøre er at gå efter de mennesker, der opretter og betaler for sådanne angreb."

Ultrascan har et netværk af informanter, der er lukket for organiserede kriminelle bander i Asien, hvoraf mange er involveret i cyberkriminalitet, sagde Frank Engelsman, en undersøger med Ultrascan baseret i Holland. Et spørgsmål er, om det kunne bevises, at en kriminel gruppe var blevet betalt af Nordkorea for at udføre angrebene, sagde Engelsman.

Det kunne tage en masse undersøgelsesarbejde. Men det kan være lettere end det.

Cyberkriminelle begår fejl, som tidligere i år, da forskerne afslørede et globalt spionningsnet kaldet "GhostNet", at inficerede computere tilhørende tibetanske ikke-statslige organisationer, Dalai Lama's private kontor og ambassader af mere end et dusin lande. En Google-søgning af forsker Nart Villeneuve viste nogle af de mest fordømmende beviser - en ukrypteret server indekseret af søgemaskinen.

Fra stavefejl, til e-mail-adresser til kodningsfejl, kan angriberne forlade spor, som kunne slå en koldt spor varmt. "

" "Du ved, hvor fejlene sandsynligvis vil blive lavet", siger Steve Santorelli, direktør for global oprydning til Team Cymru, et nonprofit internet security research firma. "Du kan hurtigt omdanne de rigtige sten."

Og Santorelli tilføjede: "Google glemmer ikke noget."