Online aanval hits websites van Amerikaanse overheid

Een botnet bestaande uit ongeveer 50.000 geïnfecteerde computers voeren een oorlog tegen Amerikaanse overheidswebsites en veroorzaken kopzorgen voor bedrijven in de VS en Zuid-Korea.

De aanval begon zaterdag en veiligheidsexperts hebben het gecrediteerd met het slaan van de Amerikaanse Federal Trade Commission (FTC's) Website offline voor delen van maandag en dinsdag. Verschillende andere websites van de overheid zijn ook getarget, waaronder het Amerikaanse Department of Transportation (DOT).

"De DOT heeft sinds afgelopen weekend netwerkincidenten ervaren. We werken samen met het Amerikaanse Computer Emergency Readiness Team [US-CERT]] op dit moment, "zei een DOT-woordvoerster dinsdag.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Een woordvoerster van het Amerikaanse ministerie van Financiën bevestigde dat de website van de Schatkist is geraakt met een denial-of-service-aanval. "We werken samen met onze serviceprovider om de gevolgen te verzachten", zei ze.

Een woordvoerster van de FTC kon niet zeggen wat de oorzaak was van de storing op de website van dat bureau.

De aanslagen analyseren

A more De volledige lijst met sites in de VS en Zuid-Korea die in de aanval is getarget, is gepubliceerd door een Koreaanse blogger die een analyse van de botnetcode heeft gepost. Volgens deze lijst zijn Amazon en Yahoo ook het doelwit geweest.

Het Amerikaanse ministerie van Binnenlandse Veiligheid (DHS), dat US-CERT runt, zei laat dinsdag dat het federale agentschappen en partnerorganisaties had gewaarschuwd en werkte aan het verzachten van de aanval. "We zien elke dag aanvallen op federale netwerken en de geldende maatregelen hebben de impact op federale websites tot een minimum beperkt", zei het DHS in een verklaring. "US-CERT zal blijven samenwerken met haar federale partners en de privésector om deze activiteit aan te pakken."

De aanval, hoewel krachtig, is niet bijzonder geavanceerd en lijkt meer hinderlijk dan een bedreiging voor de veiligheid te zijn. Het gebruikt verschillende bekende gedistribueerde denial-of-service (DDoS) -aanvallen die websites met nutteloze verzoeken proberen te overweldigen en ze onbeschikbaar maken voor legitieme gebruikers, zeggen beveiligingsdeskundigen. De meeste van de getargete sites in de VS bleken op dinsdag normaal te werken.

De aanval had echter een veel grotere impact in Zuid-Korea, waar het een topnieuwsverhaal was nadat verschillende prominente sites woensdag, lokale tijd offline bleven. Zuid-Koreaanse sites werden dinsdag voor het eerst getroffen, enkele dagen nadat het Amerikaanse deel van de aanval begon.

De website voor de president van Zuid-Korea, het blauwe huis en die voor de nationale vergadering en het ministerie van nationale defensie waren allemaal offline op woensdagmiddag. Ook ontoegankelijk was de startpagina van de Grand National Party en de nationale krant Chosun Ilbo

De beveiligingsbedreigingsindex van het Korea Internet Security Center was vastgesteld op "substantieel", wat het midden is van zijn vijf niveaus en duidt op regionale internetbeveiligingsproblemen. Het adviseert alle internetgebruikers om dringende veiligheidsmaatregelen te nemen.

De aanval trof ook de elektronische banksites van de Korea Exchange Bank, Shinhan Bank en NongHyup Bank en haalde de website van de US Forces Korea.

Ongewone aspecten

Dergelijke DDoS-aanvallen komen relatief vaak voor, maar een paar dingen maken het incident van deze week ongebruikelijk. De botnetcode achter de aanval gebruikt geen typische antivirusontduikingstechnieken en lijkt niet te zijn geschreven door een professionele malwareschrijver, volgens Joe Stewart, een onderzoeker bij SecureWorks die de code heeft bekeken.

Op zaterdag en zondag de aanval nam 20 tot 40 GB per seconde aan bandbreedte in beslag, ongeveer 10 keer de snelheid van een typische DDoS-aanval, zei een beveiligingsdeskundige na een briefing door de US-CERT op dinsdag. "Het is de grootste die ik heb gezien", zei de expert, die vroeg om niet te worden geïdentificeerd omdat hij niet bevoegd was om de zaak te bespreken. Tegen dinsdag was het gemiddeld ongeveer 1,2 GB per seconde, zei hij.

Beveiligingsdeskundigen schatten de grootte van het botnet op tussen de 30.000 en 60.000 computers.

Het is ook ongebruikelijk om te zien dat websites met een relatief laag profiel door overheidsinstanties worden geraakt. "Wie gaat er rond op een site zoals de FAA of de Amerikaanse schatkist? Het is niet iets dat de meeste mensen zouden denken aan te vallen," zei Stewart. De FTC in het verleden heeft acties tegen spammers en internetfraudeurs ingesteld. Vorige maand sloot het een internetprovider genaamd Pricewert af, die was geassocieerd met botnets, spam en kinderpornografie.

Culprits Still Anonymous

Niemand weet wie er achter de aanval zit, hoewel Stewart zei dat het zou kunnen worden gelanceerd door een enkele persoon.

"Het lijkt me gewoon dat iemand om een ​​of andere reden boos is op kapitalistische regeringen," zei hij. Beveiligingsdeskundigen zeggen dat de meeste geïnfecteerde machines zich in Zuid-Korea bevinden, maar dat betekent niet dat de aanval daar is ontstaan.

Het feit dat de DDoS-aanval overheidscomputers heeft vernietigd, is een schande voor de VS, die zich inzet voor versterking de cyberveiligheidsdefensie van het land onder president Barack Obama.

"Dit zijn zeer elementaire aanvallen en dingen die we al heel lang hebben gezien. De omvang hiervan is ook niet erg groot," zei een beveiligingsdeskundige, die sprak op voorwaarde van anonimiteit omdat hij niet bevoegd was om de zaak publiekelijk te bespreken. "Het is beschamend dat deze sites vier of vijf dagen zijn geraakt en nog steeds worden beïnvloed. Denk aan het geld dat eBay en Amazon binnen vier tot vijf dagen zouden verliezen."

(Grant Gross in Washington en Nancy Gohring in Seattle heeft bijgedragen aan dit verhaal.)