Indagine sugli attacchi cibernetici in tutto il mondo

Le autorità britanniche hanno avviato un'indagine sui recenti attacchi informatici che hanno paralizzato i siti Web negli Stati Uniti e nella Corea del Sud, mentre il sentiero per trovare gli autori si estende in tutto il mondo.

Martedì, il fornitore di sicurezza vietnamita Bach Khoa Internetwork Security (Bkis) ha affermato di aver identificato un server principale di comando e controllo utilizzato per coordinare gli attacchi denial-of-service, che hanno abbattuto i principali siti Web governativi degli Stati Uniti e della Corea del Sud.

Un server di comando e controllo viene utilizzato per distribuire istruzioni per zombie PC, che formano una botnet che può essere utilizzata per bombardare i siti Web con traffico, rendendo i siti inutili. Il server era su un indirizzo IP (Internet Protocol) utilizzato da Global Digital Broadcast, una società di tecnologia TV IP con sede a Brighton, in Inghilterra, secondo Bkis.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Questo server master distribuiva le istruzioni ad altri otto server di comando e controllo utilizzati negli attacchi. Bkis, che è riuscito a ottenere il controllo di due degli otto server, ha affermato che negli attacchi sono stati utilizzati 166.908 computer hacker in 74 paesi e sono stati programmati per ottenere nuove istruzioni ogni tre minuti.

Ma il server master non è nel UK; è a Miami, secondo Tim Wray, uno dei proprietari di Digital Global Broadcast, che ha parlato con IDG News Service martedì sera, ora di Londra.

Il server appartiene a Digital Latin America (DLA), che è uno dei Digital Partner di Global Broadcast. DLA codifica la programmazione latinoamericana per la distribuzione su dispositivi compatibili con TV IP, come set-top box.

I nuovi programmi sono presi dal satellite e codificati nel formato corretto, quindi inviati tramite VPN (Virtual Private Network) nel Regno Unito, dove Digital Global Broadcast distribuisce il contenuto, Wray ha detto. La connessione VPN ha fatto apparire il server master appartenente a Digital Global Broadcast quando è effettivamente nel data center di Miami DLA.

Gli ingegneri di Digital Global Broadcast hanno rapidamente scontato che gli attacchi hanno avuto origine dal governo nordcoreano, che le autorità sudcoreane hanno suggerito potrebbe essere responsabile.

Digital Global Broadcast è stata informata di un problema dal suo fornitore di hosting, C4L, ha detto Wray. La sua azienda è stata anche contattata dalla Serious Organized Crime Agency (SOCA) della U.K. Un funzionario della SOCA ha detto che non può confermare o smentire un'indagine. I funzionari della DLA non possono essere immediatamente raggiunti.

Gli investigatori dovranno sequestrare quel server master per l'analisi forense. Spesso è una gara contro gli hacker, dal momento che se il server è ancora sotto il loro controllo, potrebbero essere cancellati dati critici che potrebbero aiutare un'indagine.

"È un processo noioso e vuoi farlo il più rapidamente possibile", ha detto Jose Nazario, responsabile della ricerca sulla sicurezza per Arbor Networks.

Ricercatori, Nazario ha detto che verranno ricercati dati come file di log, tracce di controllo e file caricati. "Il Santo Graal che stai cercando sono pezzi di medicina legale che rivelano da dove viene attaccato l'attaccante e quando", ha detto.

Per condurre gli attacchi, gli hacker hanno modificato un malware relativamente vecchio chiamato MyDoom, apparso per la prima volta in Gennaio 2004. MyDoom ha caratteristiche del worm e-mail e può anche scaricare altro malware su un PC ed essere programmato per condurre attacchi denial-of-service contro siti Web.

L'analisi della variante MyDoom utilizzata negli attacchi non è quella impressionante. "Continuo a pensare che il codice sia piuttosto sciatto, che spero significhi che [gli hacker] lascino una buona traccia di prove", ha detto Nazario.