Angrep på USA, Korea-nettsteder, la en svingete sti

Undersøkelsen av angrepene mot høyprofilerte nettsteder i Sør-Korea og USA er en svingete, vridbar elektronisk gåsejakt som kanskje ikke fører til en endelig konklusjon om identiteten av angriperne.

Datasikkerhetseksperter er uenige om ferdighetsnivået i DDOS-angrepene (distributed denial-of-service), som i løpet av noen dager i begynnelsen av juli forårsaket problemer for noen av de målrettede nettstedene, inkludert Sør-Koreanske banker, amerikanske myndigheter og medier.

DDOS-angrepet ble henrettet av en botnet eller en gruppe datamaskiner som er infisert med ondsinnet programvare styrt av en hacker. Den skadelige programvaren ble programmert for å angripe nettsidene ved å bombe dem med sidebeskrivelser som langt overstiger normal trafikk til besøkende. Som følge av dette, ble noen av de svakere områdene buckled.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Mens det er hundrevis av DDOS-angrep som oppstår hver dag, har den fra forrige måned interessante egenskaper. For det første ble det utført en botnet på inntil 180.000 datamaskiner som nesten var helt plassert i Sør-Korea.

"Det er veldig sjelden å se en botnet av den størrelsen så lokalisert," sa Steven Adair fra The Shadowserver Foundation, en cybercrime vakthund gruppe. "Større botnets tar vanligvis tid å bygge opp og mye innsats fra angriperne."

Og grunnleggende spørsmål synes å være ubesvarte, for eksempel hvordan angriperne kunne smitte så mange datamaskiner i Sør-Korea med den spesifikke koden som commandeered datamaskinene til å angripe en liste over nettsteder.

Undersøkelsen har geopolitiske forandringer. Sørkoreas nasjonalt etterretningstjeneste fortalte landets lovgivere tidlig i måneden at det mistenkte at Nord-Korea var involvert. Til tross for ikke noe offentlig bevis som forbinder Nordkorea med DDOS-angrepene, gjør landets hardlinjemåte det til en praktisk skuespiller å skylde på grunn av sine stikkende forbindelser med USA og Sør-Korea.

Botnet, som nå er inaktivt, syntes å være tilpasset -built for angrepene. Mange ganger vil folk som ønsker å banke et nettsted offline, leie tid på en botnet fra sin kontroller, kjent som en botnetherder, og betaler en liten avgift per maskin, for eksempel US $.20. Botnets kan også brukes til Internett-aktivitet, for eksempel å sende spam.

Analytikere vet at datamaskinene som består av botnet, hadde blitt smittet med en variant av MyDoom, et stykke ondsinnet programvare som gjentatte ganger mails ut til andre datamaskiner en gang det har smittet en PC. MyDoom debuterte med ødeleggende konsekvenser i 2004, og ble den raskest spredte e-postmasken i historien. Det er nå rutinemessig rengjort fra PCer som kjører antivirusprogram, selv om mange datamaskiner ikke har slike beskyttelsesprogrammer installert.

MyDoom-koden er blitt kalt amatørmessig, men det var likevel effektiv. Kommando- og kontrollstrukturen for å levere instruksjoner til datamaskiner infisert med MyDoom, brukte åtte hovedservere som var spredt over hele verden. Men det var også en labyrintisk gruppe av underordnede kommando- og kontrollservere som gjorde det vanskeligere å spore.

"Det er vanskelig å finne den virkelige angriperen," sa Sang-keun Jang, en virusanalytiker og sikkerhetsingeniør med sikkerheten firmaet Hauri, basert i Seoul.

IP (Internet Protocol) adresser - som høyst kan identifisere hvor en datamaskin er koblet til et nettverk, men ikke den presise plasseringen eller hvem som driver datamaskinen - bare gi etterforskere det mye informasjon å fortsette. Åpne Wi-Fi-hotspots kan tillate en angriper å endre IP-adresser ofte, sier Scott Borg, direktør og sjeføkonom for US Cyber ​​Consequences Unit, et nonprofit forskningsinstitut.

"Anonyme angrep kommer til å være et faktum i livet," sa Borg. "Det har store politiske implikasjoner. Hvis du ikke kan tildele raskt og med selvtillit, er de fleste strategier basert på avskrekking ikke lenger levedyktige. Det er en stor revolusjon som allerede er i gang og må utføres i vår forsvarsløsning."

For Sør-Korea-USA DDOS-angrep, et sikkerhetsselskap tar tilnærmingen til å følge pengene. Mange DDOS-angrep er faktisk betalte transaksjoner, og hvor det er penger, er det noe sti.

"Å gå etter IP-adresser er ikke veldig nyttig," sa Max Becker, CTO for Ultrascan Knowledge Process Outsourcing, et datterselskap av bedriftsbedrift Ultra. "Det vi prøver å gjøre, er å følge folkene som setter opp og betaler for slike angrep."

Ultrascan har et nettverk av informanter som er stengt for organiserte kriminelle gjenger i Asia, hvorav mange er involvert i nettkriminalitet, sa Frank Engelsman, en undersøker med Ultrascan basert i Nederland. Et spørsmål er om det kunne bevises at en kriminell gruppe hadde blitt betalt av Nord-Korea for å utføre angrepene, sa Engelsman.

Det kan ta mye undersøkende arbeid. Men det kan være enklere enn det. Cyberkriminelle gjør feil, for eksempel tidligere i år da forskere avdekket et globalt spionnettverk kalt GhostNet som infiserte datamaskiner tilhørende tibetanske ikke-statlige organisasjoner, Dalai Lama's private kontor og ambassader av mer enn et dusin land. Et Google-søk av forsker Nart Villeneuve viste opp noen av de mest ødeleggende bevisene - en ukryptert server indeksert av søkemotoren.

Fra stavemåte, til e-postadresser til kodingsfeil, kan angriperne gi ledetråder som kan slå en kaldt sti varmt. "

" "Du vet hvor feilene vil bli gjort," sa Steve Santorelli, direktør for global oppsøkelse for Team Cymru, et nonprofit-sikkerhetsforskningsfirma. "Du kan raskt vri de rette bergarter."

Og Santorelli la til: "Google glemmer ikke noe."