Attacchi contro siti Web statunitensi e coreani Lasciare una traccia di avvolgimento

Le indagini sugli attacchi contro siti Web di alto profilo in Corea del Sud e negli Stati Uniti sono una tortuosa e tortuosa caccia all'oca elettronica che potrebbe non portare a una conclusione definitiva sull'identità degli hacker.

Gli esperti di sicurezza informatica non sono d'accordo sul livello di abilità degli attacchi DDOS (distributed denial-of-service), che nel corso di alcuni giorni all'inizio di luglio hanno causato problemi ad alcuni dei siti Web presi di mira, tra cui Banche della Corea del Sud, agenzie governative degli Stati Uniti e organi di informazione.

L'attacco DDOS è stato eseguito da una botnet o da un gruppo di computer infettati da software dannoso controllato da un hacker. Quel malware è stato programmato per attaccare i siti Web bombardandoli con richieste di pagine che superano di gran lunga il normale traffico dei visitatori. Di conseguenza, alcuni dei siti più deboli hanno ceduto.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Mentre ci sono centinaia di attacchi DDOS che si verificano ogni giorno, quello del mese scorso ha caratteristiche interessanti. Innanzitutto, è stato realizzato utilizzando una botnet di circa 180.000 computer che si trovava quasi interamente all'interno della Corea del Sud.

"È molto raro vedere un botnet di tale dimensione così localizzato", ha affermato Steven Adair di The Shadowserver Foundation, un gruppo di cane da guardia del crimine informatico. "Le botnet di grandi dimensioni di solito richiedono tempo per accumularsi e un sacco di sforzi da parte degli aggressori."

E le domande di base sembrano non avere risposta, come il modo in cui gli aggressori sono stati in grado di infettare un numero così elevato di computer in Corea del Sud con il codice specifico che ha comandato ai computer di attaccare un elenco di siti Web.

L'indagine ha implicazioni geopolitiche. Il servizio di intelligence nazionale della Corea del Sud ha riferito ai legislatori del paese all'inizio del mese scorso che sospettava che la Corea del Nord fosse coinvolta. Nonostante nessuna prova pubblica definitiva che colleghi la Corea del Nord agli attacchi DDOS, il comportamento rigido del paese ne fa un attore conveniente da attribuire alle sue spinose relazioni con gli Stati Uniti e la Corea del Sud.

La botnet, che ora è inattiva, sembrava essere personalizzata -costruito per gli attacchi. Molte volte le persone che vogliono mettere offline un sito Web si affittano per un periodo di tempo su una botnet dal proprio controller, noto come herder di botnet, pagando una piccola commissione per macchina, ad esempio $ 0,20. Le botnet possono anche essere utilizzate per attività su Internet, come l'invio di spam.

Gli analisti sanno che i computer che compongono la botnet sono stati infettati da una variante di MyDoom, un software dannoso che si invia ripetutamente ad altri computer una volta ha infettato un PC. MyDoom ha debuttato con conseguenze devastanti nel 2004, diventando il worm di posta elettronica più veloce nella storia. Ora viene pulito regolarmente dai PC che eseguono software antivirus, anche se molti computer non dispongono di tale software di protezione installato.

Il codice MyDoom è stato definito amatoriale, ma è stato comunque efficace. La struttura di comando e controllo per fornire istruzioni ai computer infettati da MyDoom utilizzava otto server principali sparsi in tutto il mondo. Ma c'era anche un gruppo labirintico di server di comando e controllo subordinati che rendevano più difficile il tracciamento.

"È difficile trovare il vero aggressore", ha detto Sang-keun Jang, analista di virus e ingegnere della sicurezza con la sicurezza società Hauri, con sede a Seoul.

Indirizzi IP (Internet Protocol) - che al massimo possono identificare approssimativamente dove un computer è collegato a una rete ma non la sua posizione precisa o chi sta operando il computer - danno solo agli investigatori molte informazioni per andare avanti. Gli hotspot Wi-Fi aperti possono consentire a un utente malintenzionato di modificare frequentemente gli indirizzi IP, ha dichiarato Scott Borg, direttore e chief economist dell'United Cyber ​​Consequences Unit, un istituto di ricerca senza scopo di lucro.

"Gli attacchi anonimi saranno un dato di fatto", ha detto Borg. "Questo ha grandi implicazioni politiche: se non si può attribuire rapidamente e con fiducia, allora la maggior parte delle strategie basate sulla deterrenza non sono più praticabili: c'è una grande rivoluzione che è già in corso e deve essere portata avanti nel nostro modo di pensare".

Per la Corea del Sud-USA Attacchi DDOS, una società di sicurezza sta adottando l'approccio di seguire i soldi. Molti attacchi DDOS sono in realtà transazioni a pagamento, e dove ci sono soldi, c'è qualche traccia.

"Passare dopo gli indirizzi IP non è molto utile", ha detto Max Becker, CTO di Ultrascan Knowledge Process Outsourcing, una filiale della società di investigazione delle frodi Ultrascan. "Quello che stiamo cercando di fare è dare la caccia alle persone che organizzano e pagano questi tipi di attacchi".

Ultrascan ha una rete di informatori che sono chiusi alle organizzazioni criminali in Asia, molti dei quali sono coinvolti nel crimine informatico, ha detto Frank Engelsman, un investigatore con Ultrascan con sede nei Paesi Bassi. Una domanda è se possa essere provato che un gruppo criminale è stato pagato dalla Corea del Nord per effettuare gli attacchi, ha detto Engelsman.

Potrebbe richiedere molto lavoro investigativo.

I criminali informatici commettono errori, come all'inizio di quest'anno quando i ricercatori hanno scoperto una rete di spionaggio globale chiamata "GhostNet" che infettava i computer appartenenti alle organizzazioni non governative tibetane, all'ufficio privato del Dalai Lama e alle ambasciate di più di una dozzina di paesi. Una ricerca su Google del ricercatore Nart Villeneuve ha rivelato alcune delle prove più schiaccianti: un server non crittografato indicizzato dal motore di ricerca.

Da errori di ortografia, a indirizzi e-mail a errori di codifica, gli attaccanti possono lasciare indizi che potrebbero trasformare un cold trail hot.

"Sai dov'è probabile che si commettano gli errori", ha detto Steve Santorelli, direttore di outreach globale di Team Cymru, una società di ricerca sulla sicurezza di Internet senza scopo di lucro. "Puoi girare velocemente le rocce giuste."

E Santorelli ha aggiunto: "Google non dimentica nulla."