Undersøkelse til cyberattacker strekker seg over hele verden

Britiske myndigheter har lansert en undersøkelse av de siste cyberattackene som forkrøblede nettsteder i USA og Sør-Korea, da stien for å finne gerningsmennene strekker seg over hele verden.

Den vietnamesiske sikkerhetsleverandøren Bach Khoa Internetwork Security (Bkis)) sa at den hadde identifisert en master-kommando- og kontrollserver som ble brukt til å koordinere angrepsangrepene, som tok ned store amerikanske og sørkoreanske myndigheter.

En kommando- og kontrollserver brukes til å distribuere instruksjoner til zombie-PCer, som danner en botnet som kan brukes til å bombe nettsteder med trafikk, noe som gjør nettstedene ubrukelige. Serveren var på en IP-adresse (Internet Protocol) som ble brukt av Global Digital Broadcast, et IP-tv-teknologiselskap basert i Brighton, England, ifølge Bkis.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Denne mesterserveren distribuerte instruksjoner til åtte andre kommando- og kontrollservere som ble brukt i angrepene. Bkis, som klarte å få kontroll over to av de åtte serverne, sa at 166.908 hacked datamaskiner i 74 land ble brukt i angrepene og ble programmert til å få nye instruksjoner hvert tredje minutt.

Men master-serveren er ikke i Storbritannia; Det er i Miami, ifølge Tim Wray, en av eierne av Digital Global Broadcast, som snakket med IDG News Service på tirsdag kveld, London-tiden.

Serveren tilhører Digital Latin America (DLA), som er en av Digital Global Broadcasts partnere. DLA koder for latinamerikansk programmering for distribusjon over IP-TV-kompatible enheter, for eksempel set-top-bokser.

Nye programmer er hentet fra satellitt og kodet inn i riktig format, og sendes deretter over VPN (Virtual Private Network) til Storbritannia, hvor Digital Global Broadcast distribuerer innholdet, sa Wray. VPN-tilkoblingen gjorde at det ser ut til at mesterserveren tilhørte Digital Global Broadcast, da den faktisk er i DLAs Miami datasenter.

Ingeniører fra Digital Global Broadcast diskonterte raskt at angrepene stammer fra den nordkoreanske regjeringen, som de sørkoreanske myndighetene har foreslått kan være ansvarlig.

Digital Global Broadcast ble varslet om et problem av vertsleverandøren, C4L, Wray sa. Hans firma har også blitt kontaktet av U.K.'s Serious Organized Crime Agency (SOCA). En SOCA-tjenestemann sa at hun ikke kunne bekrefte eller nekte en undersøkelse. DLA-tjenestemenn kunne ikke nås umiddelbart.

Etterforskere må gripe den mesterserveren for rettsmedisinsk analyse. Det er ofte et løp mot hackerne, siden hvis serveren fortsatt er under kontroll, kan viktige data slettes som vil hjelpe en undersøkelse.

"Det er en kjedelig prosess, og du vil gjøre det så fort som mulig", sa Jose Nazario, leder av sikkerhetsforskning for Arbor Networks.

Data som loggfiler, revisjonsstier og opplastede filer vil bli søkt av etterforskere, sa Nazario. «Den hellige gral du leter etter, er stykker rettsmedisin som viser hvor angriperen var koblet fra og når,» sa han.

For å gjennomføre angrepene endret hackerne et relativt gammelt stykke malware kalt MyDoom, som først dukket opp i Januar 2004. MyDoom har e-postmaskegenskaper og kan også laste ned annen malware til en PC og bli programmert for å utføre deial-of-service-angrep mot nettsteder.

Analyse av MyDoom-varianten som brukes i angrepene, er ikke det imponerende. "Jeg tror fortsatt at koden er ganske slurvet, som jeg håper betyr at de [hackerne] gir et godt bevisspor," sa Nazario.