Aanvallen op Amerikaanse websites, Korea Laat een slingerpad achter

Het onderzoek naar de aanvallen op spraakmakende websites in Zuid-Korea en de VS is een kronkelende, kronkelige elektronische godenjacht die mogelijk niet leidt tot een definitieve conclusie over de identiteit van de aanvallers.

Computerbeveiligingsexperts zijn het oneens over het vaardigheidsniveau van de DDOS-aanvallen (distributed denial-of-service), die in de loop van een paar dagen begin juli problemen veroorzaakten voor sommige van de beoogde websites, waaronder Zuid-Koreaanse banken, Amerikaanse overheidsinstanties en mediakanalen.

De DDOS-aanval is uitgevoerd door een botnet of een groep computers die is geïnfecteerd met schadelijke software die wordt beheerd door een hacker. Die malware was geprogrammeerd om de websites aan te vallen door ze te bombarderen met paginatieaanvragen die het normale bezoekersverkeer ver overschrijden. Als gevolg daarvan kromden enkele van de zwakkere sites.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Hoewel er dagelijks honderden DDOS-aanvallen plaatsvinden, heeft die van vorige maand interessante kenmerken. Eerst werd het uitgevoerd met een botnet van tot een geschatte 180.000 computers die bijna geheel in Zuid-Korea waren gevestigd.

"Het is zeer zeldzaam om een ​​botnet van die omvang zo gelokaliseerd te zien," zei Steven Adair van The Shadowserver Foundation, een cybercrime watchdog-groep. "Grote botnets kosten meestal tijd om zich op te bouwen en veel moeite van aanvallers."

En basisvragen lijken onbeantwoord, zoals hoe de aanvallers zo'n groot aantal computers in Zuid-Korea konden infecteren. met de specifieke code die de computers aanvoerde om een ​​lijst met websites aan te vallen.

Het onderzoek heeft geopolitieke gevolgen. De Nationale Inlichtingendienst van Zuid-Korea heeft vorige maand naar verluidt de wetgevers van het land verteld dat het vermoedde dat Noord-Korea hierbij betrokken was. Ondanks geen definitief openbaar bewijs dat Noord-Korea verbindt met de DDOS-aanvallen, maakt de harde opstelling van het land het een gemakkelijke acteur die de schuld krijgt gezien zijn stekelige relaties met de VS en Zuid-Korea.

Het botnet, dat nu inactief is, leek op maat gemaakt gebouwd voor de aanvallen. Vaak zullen mensen die een website offline willen kloppen tijd huren op een botnet van de controller, die bekend staat als een botnetherder, en een klein bedrag per machine betalen, zoals US $.20. Botnets kunnen ook worden gebruikt voor internetactiviteiten, zoals het verzenden van spam.

Analisten weten wel dat de computers waaruit het botnet bestond, waren geïnfecteerd met een variant van MyDoom, een stukje schadelijke software die zichzelf herhaaldelijk naar andere computers stuurt heeft een pc geïnfecteerd. MyDoom debuteerde met verwoestende gevolgen in 2004 en werd de snelste verspreiding van e-mailwormen in de geschiedenis. Het wordt nu routinematig gereinigd van pc's waarop antivirussoftware wordt uitgevoerd, hoewel op veel computers dergelijke beschermende software niet is geïnstalleerd.

De MyDoom-code is amateuristisch genoemd, maar was niettemin effectief. De commando- en controlestructuur voor het leveren van instructies aan computers die geïnfecteerd waren met MyDoom, gebruikte acht hoofdservers die over de hele wereld verspreid waren. Maar er was ook een labyrintische groep van ondergeschikte commando- en controleservers die het moeilijker maakten om te traceren.

"Het is moeilijk om de echte aanvaller te vinden," zei Sang-keun Jang, een virusanalist en beveiligingsingenieur bij de beveiliging bedrijf Hauri, gevestigd in Seoul.

IP (Internet Protocol) -adressen - die hooguit ongeveer kunnen identificeren waar een computer is aangesloten op een netwerk maar niet op de precieze locatie of die de computer bestuurt - geven de onderzoekers alleen veel informatie om verder te gaan. Open Wi-Fi-hotspots kunnen een aanvaller in staat stellen om IP-adressen regelmatig te wijzigen, zegt Scott Borg, directeur en chief economist van de Amerikaanse Cyber ​​Consequences Unit, een onderzoeksinstituut zonder winstoogmerk.

"Anonieme aanvallen zullen een feit van het leven worden," zei Borg. "Dat heeft grote beleidsimplicaties.Als je niet snel en met vertrouwen kunt schrijven, dan zijn de meeste strategieën gebaseerd op afschrikking niet langer levensvatbaar.Er is een grote revolutie die al aan de gang is en die moet worden uitgevoerd in ons verdedigingsdenken."

Voor de Zuid-Korea-VS. DDOS-aanvallen, een beveiligingsbedrijf neemt de aanpak van het volgen van het geld. Veel DDOS-aanvallen zijn eigenlijk betaalde transacties, en waar geld is, is er een spoor.

"Gaan na IP-adressen is niet echt nuttig", zegt Max Becker, CTO van Ultrascan Knowledge Process Outsourcing, een dochteronderneming van een bedrijf voor fraudeonderzoek Ultrascan. "Wat we proberen te doen is de mensen achterna gaan die dit soort aanvallen opzetten en betalen." Ultrascan heeft een netwerk van informanten die gesloten zijn voor georganiseerde criminele bendes in Azië, waarvan vele betrokken zijn bij cybercriminaliteit., zei Frank Engelsman, een onderzoeker bij Ultrascan in Nederland. Een vraag is of kan worden bewezen dat Noord-Korea een criminele groep heeft betaald om de aanslagen uit te voeren, zei Engelsman.

Dat kan veel onderzoekswerk vergen. Maar het kan makkelijker zijn dan dat.

Van spellingsfouten tot e-mailadressen en codeerfouten, aanvallers kunnen aanwijzingen achterlaten die een cold trail hot.

"Je weet waar de fouten waarschijnlijk zullen worden gemaakt", zegt Steve Santorelli, directeur van de wereldwijde bereikbaarheid voor Team Cymru, een non-profit internetbeveiligingsonderzoeksbureau. "Je kunt snel de juiste rotsen omdraaien."

En Santorelli voegde toe: "Google vergeet niets."