Android

Serangan ke atas Laman Web Amerika Syarikat, Korea Meninggalkan Jejak Berliku

SERANGAN AWAL Korea Utara dan Intervensi Amerika - Seri Perang Korea Part 2

SERANGAN AWAL Korea Utara dan Intervensi Amerika - Seri Perang Korea Part 2
Anonim

Penyiasatan terhadap serangan terhadap laman web berprofil tinggi di Korea Selatan dan AS adalah mengejar angsa anggun elektronik yang berliku-liku yang mungkin tidak menghasilkan kesimpulan yang pasti tentang identitas daripada penyerang.

Pakar keselamatan komputer tidak bersetuju dengan tahap kemahiran serangan DDOS (serangan penafian diedarkan), yang selama beberapa hari pada awal Julai menyebabkan masalah untuk beberapa laman web yang disasarkan, termasuk Bank Korea Selatan, agensi kerajaan AS dan saluran media.

Serangan DDOS dijalankan oleh botnet, atau sekumpulan komputer yang dijangkiti perisian jahat yang dikawal oleh penggodam. Malware itu telah diprogramkan untuk menyerang laman web dengan membombardir mereka dengan permintaan halaman jauh melebihi lalu lintas pengunjung biasa.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows Anda]

Walaupun terdapat ratusan serangan DDOS yang berlaku setiap hari, satu dari bulan lepas mempunyai ciri-ciri yang menarik. Pertama, ia dijalankan dengan menggunakan botnet sehingga kira-kira 180,000 komputer yang hampir seluruhnya berada di Korea Selatan.

"Sangat jarang melihat botnet saiz begitu setempat," kata Steven Adair dari The Shadowserver Foundation, kumpulan pengawas siber jenayah. "Botnet besar saiz biasanya mengambil masa untuk membina dan banyak usaha daripada penyerang."

Dan soalan asas kelihatan tidak dijawab, seperti bagaimana penyerang dapat menjangkiti sebilangan besar komputer di Korea Selatan dengan kod tertentu yang menyerang komputer untuk menyerang senarai laman web.

Penyiasatan itu mempunyai ramuan geopolitik. Perkhidmatan Perisikan Kebangsaan Korea dilaporkan memberitahu ahli parlimen negara awal bulan lepas bahawa mereka menyangka Korea Utara terlibat. Walaupun tidak ada bukti umum yang menghubungkan Korea Utara dengan serangan DDOS, sikap garis keras negara itu menjadikannya pelakon mudah untuk dipersalahkan memandangkan hubungannya dengan AS dan Korea Selatan.

Botnet, yang kini tidak aktif, kelihatan seperti adat - Dibina untuk serangan. Ramai orang yang ingin mengetuk laman web luar talian akan menyewakan masa pada botnet dari pengawalnya, yang dikenali sebagai pengasuh botnet, membayar yuran kecil untuk setiap mesin, seperti US $.20. Botnet juga boleh digunakan untuk aktiviti Internet, seperti menghantar spam.

Penganalisis tahu bahawa komputer yang terdiri daripada botnet telah dijangkiti dengan variasi MyDoom, sekeping perisian berniat jahat yang berulang kali menghantar sendiri ke komputer lain sekali telah menjangkiti PC. MyDoom memulakan kerjayanya dengan akibat yang dahsyat pada tahun 2004, menjadi cacing e-mel yang paling pantas dalam sejarah. Ia kini dibersihkan secara rutin dari PC yang menjalankan perisian antivirus, walaupun banyak komputer tidak mempunyai perisian perlindungan sebegitu.

Kod MyDoom telah dipanggil amatur, tetapi ia tetap berkesan. Struktur arahan dan kawalan untuk memberikan arahan kepada komputer yang dijangkiti MyDoom menggunakan lapan pelayan utama yang tersebar di seluruh dunia. Tetapi terdapat juga kumpulan labyrinthine arahan rendah dan pelayan kawalan yang menjadikannya lebih sukar untuk dikesan.

"Sukar untuk mencari penyerang sebenar," kata Sang-keun Jang, penganalisis virus dan jurutera keselamatan dengan keselamatan alamat Hauri, yang berpusat di Seoul.

IP (Internet Protocol) alamat - yang paling boleh mengenal pasti kira-kira di mana komputer dipasang di rangkaian tetapi bukan lokasi yang tepat atau yang mengendalikan komputer - hanya memberi penyelidik jadi banyak maklumat yang perlu diteruskan. Buka hotspot Wi-Fi boleh membenarkan penyerang menukar alamat IP dengan kerap, kata Scott Borg, pengarah dan ketua ekonomi dari Unit Siber Sihat A.S., sebuah institut penyelidikan bukan keuntungan.

"Serangan tanpa nama akan menjadi fakta kehidupan," kata Borg. "Itu mempunyai implikasi dasar yang besar, jika anda tidak boleh mengaitkan dengan cepat dan dengan keyakinan, maka strategi yang paling berdasarkan pencegahan tidak lagi berdaya maju. Ada revolusi besar yang sedang berjalan dan perlu dilakukan dalam pemikiran pertahanan kami."

Untuk Korea Selatan-AS Serangan DDOS, satu syarikat keselamatan mengambil pendekatan mengikuti wang tersebut.

Ultrascan mempunyai rangkaian informan yang ditutup kepada kumpulan-kumpulan jenayah terancang di Asia, yang kebanyakannya terlibat dalam jenayah siber, kata Frank Engelsman, seorang penyiasat dengan Ultrascan yang berpusat di Belanda. Satu soalan ialah sama ada ia boleh dibuktikan bahawa kumpulan jenayah telah dibayar oleh Korea Utara untuk melakukan serangan, kata Engelsman.

Itu boleh mengambil banyak kerja penyiasatan.

Penjenayah siber membuat kesilapan, seperti awal tahun ini apabila penyelidik mendedahkan rangkaian pengintipan global yang dikenali sebagai "GhostNet" yang menjejaskan komputer milik organisasi bukan kerajaan Tibet, pejabat swasta Dalai Lama dan kedutaan-kedutaan lebih daripada sedozen negara. Carian Google oleh penyelidik Nart Villeneuve menimbulkan beberapa bukti paling buruk - pelayan yang tidak dienkripsi yang diindeks oleh enjin carian.

Dari kesilapan ejaan, ke alamat e-mel untuk kesilapan coding, penyerang boleh meninggalkan petunjuk yang boleh mengubah

"Anda tahu di mana kesilapan mungkin dibuat," kata Steve Santorelli, pengarah jangkauan global untuk Team Cymru, firma penyelidikan keselamatan internet bukan keuntungan. "Anda boleh menghidupkan batu-batu kanan dengan cepat."

Dan Santorelli menambahkan: "Google tidak melupakan apa-apa."