Undersøgelse af cyberangreb strækker sig rundt om kloden

De britiske myndigheder har lanceret en undersøgelse af de nylige cyberangreb, der forkrøbede websteder i USA og Sydkorea, da sporet for at finde gerningsmændene strekninger rundt om i verden.

Den vietnamesiske sikkerhedsleverandør Bach Khoa Internetwork Security (Bkis)) sagde, at den havde identificeret en master-kommando- og kontrolserver, der blev brugt til at koordinere deial-of-service-angrebene, som nedlagde store amerikanske og sydkoreanske regeringswebsteder.

En kommando- og kontrolserver bruges til at distribuere instruktioner til zombie pc'er, som danner en botnet, der kan bruges til at bombe websteder med trafik, hvilket gør webstederne ubrugelige. Serveren var på en IP-adresse (Internet Protocol), der blev brugt af Global Digital Broadcast, et IP-tv-teknologiselskab baseret i Brighton, England, ifølge Bkis.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Denne mesterserver distribuerede instruktioner til otte andre kommando- og kontrol-servere, der blev brugt i angrebene. Bkis, som formåede at få kontrol over to af de otte servere, sagde, at 166.908 hackede computere i 74 lande blev brugt i angrebene og var programmeret til at få nye instruktioner hvert tredje minut.

Men master-serveren er ikke i UK; Det er i Miami, ifølge Tim Wray, en af ​​ejerne af Digital Global Broadcast, der talte til IDG News Service tirsdag aften, London-tiden.

Serveren tilhører Digital Latin America (DLA), som er en af ​​Digital Global Broadcasts partnere. DLA koder for latinamerikansk programmering til distribution via IP-tv-kompatible enheder, f.eks. Set-top-bokse.

Nye programmer er taget fra satellit og kodet i det korrekte format og derefter sendt via VPN (Virtual Private Network) til Storbritannien, hvor Digital Global Broadcast distribuerer indholdet, sagde Wray. VPN-forbindelsen gjorde det til at se mesterserveren tilhørende Digital Global Broadcast, da den faktisk findes i DLAs datacenter i Miami.

Ingeniører fra Digital Global Broadcast diskuterede hurtigt, at angrebene stammer fra den nordkoreanske regering, som sydkoreanske myndigheder har foreslået kan være ansvarlig.

Digital Global Broadcast blev meddelt af et problem af dets hosting-udbyder, C4L, sagde Wray. Hans firma er også blevet kontaktet af U.K.'s Serious Organized Crime Agency (SOCA). En SOCA-tjenestemand sagde, at hun ikke kunne bekræfte eller nægte en undersøgelse. DLA-embedsmænd kunne ikke nås straks.

Undersøgere skal bruge denne mesterserver til retsmedicinsk analyse. Det er ofte et løb mod hackerne, da hvis serveren stadig er under deres kontrol, kan kritiske data blive slettet, der ville hjælpe en undersøgelse. "Det er en kedelig proces, og du vil gøre det så hurtigt som muligt", sagde Jose Nazario, leder af sikkerhedsforskning til Arbor Networks.

Efterforskere, som Nazario sagde, vil finde data som logfiler, revisionsspor og uploadede filer. "Den hellige gral, du leder efter, er stykker af retsmedicin, der afslører, hvor angriberen er forbundet fra og hvornår," sagde han.

For at gennemføre angrebene ændrede hackerne et relativt gammelt stykke malware kaldet MyDoom, som først blev vist i Januar 2004. MyDoom har e-mail worm egenskaber og kan også downloade anden malware til en pc og være programmeret til at udføre deial-of-service angreb på websteder.

Analyse af MyDoom-varianten anvendt i angrebene er ikke det imponerende. "Jeg tror stadig, at koden er ret sjusket, som jeg håber betyder, at de [hackerne] efterlader et godt bevisspor", sagde Nazario.