Attacco online colpisce i siti web del governo degli Stati Uniti

Una botnet composto da circa 50.000 computer infetti ha scatenato una guerra contro i siti Web del governo degli Stati Uniti e ha causato grattacapi per le imprese negli Stati Uniti e nella Corea del Sud.

L'attacco è iniziato sabato e gli esperti di sicurezza lo hanno accreditato con la US Federal Trade Commission (FTC) Sito Web offline per parti di lunedì e martedì. Diversi altri siti Web governativi sono stati presi di mira, tra cui il Dipartimento dei trasporti degli Stati Uniti (DOT).

"Il DOT ha avuto incidenti di rete dallo scorso fine settimana. Stiamo lavorando con il Computer US Readiness Team [US-CERT] in questo momento ", ha detto un portavoce della DOT Martedì.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Una portavoce del Dipartimento del Tesoro degli Stati Uniti ha confermato che il sito Web del Tesoro era stato colpito un attacco denial-of-service. "Stiamo lavorando con il nostro fornitore di servizi per mitigare l'impatto", ha detto.

Una portavoce della FTC non ha potuto dire cosa causasse l'interruzione del sito Web di quell'agenzia.

Analizzare gli attacchi

Un altro l'elenco completo dei siti statunitensi e sudcoreani oggetto di attacco è stato pubblicato da un blogger coreano che ha pubblicato un'analisi del codice botnet. Secondo questo elenco, anche Amazon e Yahoo sono stati presi di mira.

Il Dipartimento della Sicurezza Nazionale degli Stati Uniti (DHS), che gestisce US-CERT, ha dichiarato che aveva messo in guardia le agenzie federali e le organizzazioni partner e stava lavorando per mitigare il attacco. "Ogni giorno vediamo attacchi alle reti federali e le misure adottate hanno ridotto al minimo l'impatto sui siti web federali", ha dichiarato il DHS in una nota. "US-CERT continuerà a lavorare con i suoi partner federali e il settore privato per affrontare questa attività."

L'attacco, sebbene potente, non è particolarmente sofisticato e sembra essere più un fastidio che una minaccia alla sicurezza. Utilizza una serie di noti attacchi DDoS (distributed denial of service) che cercano di sopraffare i siti Web con richieste inutili e renderli non disponibili per gli utenti legittimi, dicono gli esperti di sicurezza. La maggior parte dei siti target negli Stati Uniti sembravano funzionare normalmente martedì.

Tuttavia, l'attacco ha avuto un impatto molto maggiore in Corea del Sud, dove è stata una delle principali notizie dopo che diversi siti di rilievo sono rimasti offline mercoledì, ora locale. I siti sudcoreani sono stati colpiti per la prima volta martedì, diversi giorni dopo l'inizio dell'attacco statunitense.

Il sito Web per il presidente della Corea del Sud, la Casa blu e quelli per l'Assemblea nazionale e il Ministero della Difesa nazionale erano tutti offline Mercoledì all'ora di pranzo. Anche inaccessibile era la home page del Grand National Party e il quotidiano nazionale Chosun Ilbo

L'indice di minaccia alla sicurezza del Korea Internet Security Center era impostato su "sostanziale", che è il mezzo dei suoi cinque livelli e indica problemi regionali di sicurezza di Internet. Consiglia a tutti gli utenti di Internet di adottare misure di sicurezza urgenti.

L'attacco ha colpito anche i siti bancari elettronici di Korea Exchange Bank, Shinhan Bank e NongHyup Bank, e ha preso il sito Web delle forze armate coreane.

Aspetti insoliti

Tali attacchi DDoS sono relativamente comuni, ma alcune cose rendono insolito l'incidente di questa settimana. Il codice botnet dietro l'attacco non utilizza le tipiche tecniche di evasione antivirus e non sembra essere stato scritto da uno scrittore di malware professionale, secondo Joe Stewart, un ricercatore di SecureWorks che ha esaminato il codice.

Sabato e domenica l'attacco stava consumando da 20 a 40 GB al secondo di larghezza di banda, circa 10 volte il tasso di un tipico attacco DDoS, ha detto un esperto di sicurezza dopo essere stato informato da US-CERT martedì. "È il più grande che ho visto", ha detto l'esperto, che ha chiesto di non essere identificato perché non era autorizzato a discutere la questione. Martedì aveva una media di circa 1,2 GB al secondo, ha detto.

Gli esperti di sicurezza stimano la dimensione della botnet da 30.000 a 60.000 computer.

È inoltre insolito vedere siti Web governativi a profilo relativamente basso colpiti. "Chi va in giro bersagliando un sito come la FAA o il Tesoro degli Stati Uniti? Non è qualcosa che la maggior parte della gente penserebbe di attaccare", ha detto Stewart.

La FTC in passato ha portato azioni contro spammer e truffatori su Internet. Il mese scorso ha spento un fornitore di servizi Internet chiamato Pricewert, che era stato associato a botnet, spam e pornografia infantile.

Ancora colpevoli

Nessuno sa chi sia dietro l'attacco, anche se Stewart ha detto che potrebbe essere stato lanciato da una sola persona.

"Mi sembra che qualcuno sia arrabbiato per qualche motivo nei governi capitalisti", ha detto. Gli esperti di sicurezza dicono che la maggior parte delle macchine infette si trovano in Corea del Sud, ma questo non significa che l'attacco abbia avuto origine lì.

Il fatto che l'attacco DDoS abbia abbattuto i computer del governo è imbarazzante per gli Stati Uniti, che sta lavorando per rafforzare le difese della sicurezza informatica del paese sotto il presidente Barack Obama.

"Si tratta di attacchi molto basilari e cose che abbiamo visto da molto tempo." La scala di questi non è neanche enorme ", ha detto un esperto di sicurezza, che ha parlato a condizione di anonimato perché non era autorizzato a discutere la questione pubblicamente. "È imbarazzante che questi siti siano stati colpiti per quattro o cinque giorni e siano ancora colpiti, pensate ai soldi che eBay e Amazon perderebbero in quattro o cinque giorni."

(Grant Gross a Washington e Nancy Gohring di Seattle ha contribuito a questa storia.)