Penyelidikan Ke Cyberattacks Mendekati Sekitar Globe

Pada hari Selasa, penjual keselamatan Vietnam Bach Khoa Internetwork Security (Bkis) berkata ia telah mengenal pasti pelayan arahan dan kawalan induk yang digunakan untuk menyelaraskan serangan denial-service, yang merosot laman web kerajaan AS dan Korea Selatan utama.

Server arahan dan kawalan digunakan untuk mengedarkan arahan kepada PC zombie, yang membentuk botnet yang boleh digunakan untuk mengebom laman web dengan lalu lintas, menjadikan laman-laman web tidak berguna. Pelayan berada di alamat IP (Internet Protocol) yang digunakan oleh Global Digital Broadcast, syarikat teknologi TV IP yang berpangkalan di Brighton, England, menurut Bkis.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Bahawa arahan induk pelayan diedarkan kepada lapan pelayan arahan dan kawalan yang digunakan dalam serangan tersebut. Bkis, yang berjaya menguasai dua daripada lapan pelayan, mengatakan bahawa 166,908 komputer digodam di 74 negara telah digunakan dalam serangan itu dan telah diprogramkan untuk mendapatkan arahan baru setiap tiga minit.

Tetapi pelayan induk tidak berada di dalam UK; ia berada di Miami, menurut Tim Wray, salah seorang pemilik Digital Global Broadcast, yang bercakap dengan IDG News Service pada hari Selasa malam, waktu London.

Server itu milik Digital Latin America (DLA), yang merupakan salah satu daripada Digital Rakan kongsi Penyiaran Global. DLA menyandikan pengaturcaraan Latin Amerika untuk pengedaran ke atas peranti yang serasi TV IP, seperti kotak set-top.

Program baru diambil dari satelit dan dikodkan ke dalam format yang betul, kemudian dihantar melalui VPN (Rangkaian Peribadi Maya) ke UK, di mana Digital Global Broadcast mengedarkan kandungan, kata Wray. Sambungan VPN menjadikannya pelayan induk milik Penyiaran Global Digital apabila ia sebenarnya berada di pusat data DLA Miami.

Jurutera dari Penyiaran Global Digital dengan cepat mendiskaun bahawa serangan itu berasal dari kerajaan Korea Utara, yang pihak berkuasa Korea Selatan telah mencadangkan mungkin bertanggungjawab.

Penyiaran Global Digital diberitahu masalah oleh penyedia hosting, C4L, Wray kata. Syarikatnya juga telah dihubungi oleh Agensi Jenayah Berorganisir Serius (SOCA) U.K. Seorang pegawai SOCA berkata dia tidak dapat mengesahkan atau menafikan siasatan. Para pegawai DLA tidak dapat segera dihubungi.

Penyiasat perlu merebut server master untuk analisis forensik. Ia sering menjadi perlumbaan terhadap penggodam, kerana jika pelayan masih berada di bawah kendali mereka, data kritikal dapat dipadamkan yang akan membantu penyiasatan.

"Ini proses yang membosankan dan anda ingin melakukannya secepat mungkin," kata Jose Nazario, pengurus penyelidikan keselamatan untuk Arbor Networks.

Data seperti fail log, laluan audit dan fail yang dimuat naik akan dicari oleh penyiasat, kata Nazario. "The grail suci yang anda cari adalah kepingan forensik yang mendedahkan di mana penyerang terhubung dari dan kapan," katanya.

Untuk melakukan serangan, penggodam mengubah sekeping malware yang agak lama dikenali sebagai MyDoom, yang mula-mula muncul di Januari 2004. MyDoom mempunyai ciri-ciri cacing e-mel dan juga boleh memuat turun malware lain ke PC dan diprogramkan untuk melakukan serangan denial-of-service terhadap laman web.

Analisis varian MyDoom yang digunakan dalam serangan bukanlah mengagumkan. "Saya masih fikir kod itu agak ceroboh, yang saya harap bermakna mereka [penggodam] meninggalkan jejak bukti yang baik," kata Nazario.