Onderzoek naar cyberaanvallen overal ter wereld

Britse autoriteiten hebben een onderzoek gestart naar de recente cyberaanvallen die de websites in de VS en Zuid-Korea verlamden, als het spoor om de daders te vinden die zich over de hele wereld uitstrekken.

Op dinsdag, de Vietnamese beveiligingsverkoper Bach Khoa Internetwork Security (Bkis) zei dat het een master-command-and-control-server had geïdentificeerd die werd gebruikt om de denial-of-service-aanvallen te coördineren, waarbij belangrijke Amerikaanse en Zuid-Koreaanse overheidswebsites werden verwijderd.

Een command-and-control-server wordt gebruikt om te distribueren instructies voor zombie-pc's, die een botnet vormen dat kan worden gebruikt om websites te bombarderen met verkeer, waardoor de sites onbruikbaar worden. De server was volgens een IP (Internet Protocol) -adres gebruikt door Global Digital Broadcast, een IP TV-technologiebedrijf gevestigd in Brighton, Engeland, volgens Bkis.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Die hoofdserver verdeelde instructies aan acht andere command-and-control-servers die bij de aanvallen werden gebruikt. Bkis, die erin slaagde om controle te krijgen over twee van de acht servers, zei dat 166.908 gehackte computers in 74 landen werden gebruikt bij de aanvallen en werden geprogrammeerd om elke drie minuten nieuwe instructies te krijgen.

Maar de hoofdserver bevindt zich niet in de UK; het is in Miami, volgens Tim Wray, een van de eigenaren van Digital Global Broadcast, die dinsdagavond, in Londen, met IDG News Service heeft gesproken.

De server is eigendom van Digital Latin America (DLA), een van Digital Wereldwijde partners van Broadcast. DLA codeert Latijns-Amerikaanse programmering voor distributie via IP TV-compatibele apparaten, zoals set-top boxes.

Nieuwe programma's worden van satelliet genomen en gecodeerd in het juiste formaat, vervolgens via VPN (Virtual Private Network) naar het VK verzonden, waar Digital Global Broadcast de inhoud distribueert, zei Wray. Door de VPN-verbinding leek het alsof de hoofdserver deel uitmaakte van Digital Global Broadcast toen deze zich daadwerkelijk in het datacenter van Miami in DLA bevond.

Ingenieurs van Digital Global Broadcast hadden snel korting op de aanvallen van de Noord-Koreaanse overheid, die de Zuid-Koreaanse autoriteiten hebben voorgesteld kan verantwoordelijk zijn.

Digital Global Broadcast is op de hoogte gebracht van een probleem door zijn hostingprovider C4L, zei Wray. Zijn bedrijf is ook gecontacteerd door het Serious Organized Crime Agency (SOCA) van het Verenigd Koninkrijk. Een ambtenaar van de SOCA zei dat ze een onderzoek niet kon bevestigen of ontkennen. DLA-functionarissen konden niet onmiddellijk worden bereikt. Onderzoekers zullen die hoofdserver moeten grijpen voor forensische analyse. Het is vaak een race tegen de hackers, want als de server nog onder controle is, kunnen kritieke gegevens worden gewist die een onderzoek zouden kunnen helpen.

"Het is een moeizaam proces en je wilt het zo snel mogelijk doen," zei Jose Nazario, manager van veiligheidsonderzoek voor Arbor Networks.

Gegevens zoals logbestanden, audit trails en geüploade bestanden worden door onderzoekers gezocht, zei Nazario. "De heilige graal waarnaar je op zoek bent, zijn stukjes forensisch onderzoek die onthullen waar de aanvaller mee verbonden was en wanneer," zei hij.

Om de aanvallen uit te voeren, pasten de hackers een relatief oud stukje malware aan, genaamd MyDoom, dat voor het eerst verscheen in Januari 2004. MyDoom heeft e-mailwormkenmerken en kan ook andere malware downloaden naar een pc en worden geprogrammeerd om Denial-of-Service-aanvallen tegen websites uit te voeren.

Analyse van de MyDoom-variant die wordt gebruikt bij de aanvallen is niet dat indrukwekkend. "Ik vind nog steeds dat de code behoorlijk slordig is, wat ik hoop dat ze [de hackers] een goede sporen nalaten," zei Nazario.