Cyberattacks Globe'un Etrafındaki Soruşturma

İngiliz makamları, ABD ve Güney Kore'deki web sitelerini sakatlayan ve son zamanlarda dünyadaki faillere ulaşma yollarını takip eden siber saldırılara bir soruşturma başlattılar.

Salı günü, Vietnamlı güvenlik şirketi Bach Khoa Internetwork Security (Bkis)), ABD ve Güney Kore hükümetinin büyük web sitelerini ele geçiren hizmet reddi saldırılarını koordine etmek için kullanılan bir ana komut ve kontrol sunucusu belirlediğini söyledi.

Bir komut ve kontrol sunucusu dağıtmak için kullanılır. Web sitelerini trafikle bombalamak için kullanılabilecek bir botnet oluşturan ve sitelerin işe yaramaz hale gelmesini sağlayan zombi bilgisayarları için talimatlar. Sunucu, Byor'a göre İngiltere, Brighton merkezli bir IP TV teknoloji şirketi olan Global Digital Broadcast tarafından kullanılan bir IP (İnternet Protokolü) adresi üzerindeydi.

[Daha fazla bilgi: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Bu ana sunucu, saldırılarda kullanılan sekiz diğer komut ve kontrol sunucusuna talimatlar dağıttı. Sekiz sunucunun ikisinin kontrolünü ele geçirmeyi başaran Bkis, saldırılarda 74, 908 bilgisayarın bilgisayar kullandığını ve her üç dakikada bir yeni talimatlar almaya programlandığını söyledi.

Ama ana sunucuda değil. UK; Salı akşamı Londra saatinde IDG News Service ile görüşen Digital Global Broadcast'in sahibi Tim Wray'e göre.

Sunucu Dijital Dijital Amerika (DLA) 'ya ait. Global Broadcast'in ortakları. DLA, set üstü kutular gibi IP TV uyumlu cihazlara dağıtmak için Latin Amerika programlamayı kodlar.

Yeni programlar uydudan alınır ve doğru formatta kodlanır, ardından İngiltere'ye VPN (Virtual Private Network) üzerinden gönderilir, Digital Global Broadcast'in içeriği dağıttığı yer Wray. VPN bağlantısı, aslında DLA'nın Miami veri merkezinde olduğu zaman, Digital Global Broadcast'e ait ana sunucuya geldi.

Digital Global Broadcast'in mühendisleri, saldırıların Güney Kore yetkililerinin önerdiği Kuzey Kore hükümetinden kaynaklandığını çabucak indirdiler Sorumlu olabilir.

Digital Global Broadcast, hosting sağlayıcısı C4L tarafından bir sorundan haberdar edildi, Wray dedi. Şirketine ayrıca Birleşik Krallık Ağır Organize Suçlarla Mücadele Ajansı (SOCA) ile de temas kuruldu. Bir SOCA yetkilisi, soruşturmayı doğrulayamadığını ya da reddettiğini söyledi. DLA yetkililerine derhal ulaşılamadı.

Araştırmacıların adli analiz için bu ana sunucuyu ele geçirmeleri gerekecek. Sıklıkla hackerlara karşı bir yarışmadır, çünkü eğer sunucu hala kontrol altındaysa, araştırmaya yardımcı olacak önemli veriler silinebilir.

"Bu çok sıkıcı bir süreç ve bunu olabildiğince çabuk yapmak istiyorsun," dedi. Jose Nazario, Arbor Networks için güvenlik araştırması yöneticisi.

Günlük dosyaları, denetleme yolları ve yüklenen dosyalar gibi veriler araştırmacılar tarafından aranacak, Nazario dedi. "Aradığın kutsal kâğıt, saldırganın nereye ve ne zaman bağlı olduğunu ortaya çıkartan adli tıp parçalarıdır" dedi.

Saldırıları yapmak için, bilgisayar korsanları ilk olarak ortaya çıkarılan MyDoom adlı nispeten eski bir zararlı yazılım parçasını değiştirdi. Ocak 2004. MyDoom'un e-posta solucanı özellikleri vardır ve ayrıca diğer kötü amaçlı yazılımları bir PC'ye indirebilir ve Web sitelerine karşı hizmet reddi saldırıları gerçekleştirecek şekilde programlanabilir.

Saldırıda kullanılan MyDoom varyantının analizi etkileyici. Nazario, “Kodun hala oldukça özensiz olduğunu düşünüyorum, bu da umarım ki [hackerlar] iyi bir kanıt izi bırakırlar.” Dedi.