Angriffe auf US-amerikanische, koreanische Websites hinterlassen einen langen Weg

Computersicherheitsexperten sind sich über das Skill-Level der DDOS-Angriffe (Distributed Denial-of-Service) nicht einig, die im Laufe einiger Tage Anfang Juli für einige der angesprochenen Websites Probleme verursacht haben Südkoreanische Banken, US-Regierungsbehörden und Medien.

Der DDOS-Angriff wurde von einem Botnet oder einer Gruppe von Computern ausgeführt, die mit bösartiger Software infiziert waren, die von einem Hacker kontrolliert wurde. Diese Malware wurde so programmiert, dass sie die Websites angreift, indem sie sie mit Seitenanforderungen bombardieren, die weit über den normalen Besucherverkehr hinausgehen. Daher haben einige der schwächeren Sites an Wert verloren.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Obwohl täglich Hunderte von DDOS-Angriffen auftreten, weist der vom letzten Monat interessante Merkmale auf. Zum einen wurde ein Botnet mit bis zu schätzungsweise 180.000 Computern verwendet, das fast ausschließlich in Südkorea stationiert war.

"Es ist sehr selten, dass ein Botnet dieser Größe so lokalisiert ist", sagte Steven Adair von der Shadowserver Foundation, eine Cyberkriminalitäts-Wachhundgruppe. "Große Botnets benötigen normalerweise Zeit, um sich aufzubauen und eine Menge Aufwand von den Angreifern."

Und grundlegende Fragen scheinen unbeantwortet zu bleiben, so wie die Angreifer in Südkorea so viele Computer infizieren konnten mit dem spezifischen Code, der die Computer dazu befugte, eine Liste von Websites anzugreifen.

Die Untersuchung hat geopolitische Auswirkungen. Südkoreas National Intelligence Service berichtete Berichten zufolge Anfang letzten Monats den Gesetzgebern des Landes, dass sie vermuteten, dass Nordkorea beteiligt war. Obwohl es keine definitiven öffentlichen Beweise gibt, die Nordkorea mit den DDOS-Angriffen in Verbindung bringen, macht das Hardline-Verhalten des Landes ihn zu einem bequemen Akteur, der die stacheligen Beziehungen zu den USA und Südkorea beschuldigt.

Das Botnetz, das jetzt inaktiv ist, scheint Gewohnheit zu sein für die Angriffe gebaut. Viele Leute, die eine Website offline schalten wollen, mieten sich Zeit in einem Botnet von ihrem Controller, der als Botnet Herder bekannt ist, und zahlen eine kleine Gebühr pro Rechner, wie zum Beispiel US $.20. Botnets können auch für Internetaktivitäten verwendet werden, z. B. zum Senden von Spam.

Analysten wissen, dass die Computer des Botnetzes mit einer Variante von MyDoom infiziert waren, einer bösartigen Software, die sich immer wieder an andere Computer sendet hat einen PC infiziert. MyDoom debütierte 2004 mit verheerenden Folgen und entwickelte sich zum am schnellsten wachsenden E-Mail-Wurm in der Geschichte. Es wird nun routinemäßig von PCs gereinigt, auf denen Antivirensoftware läuft, obwohl auf vielen Computern keine solche Schutzsoftware installiert ist.

Der MyDoom-Code wurde als amateurhaft bezeichnet, war aber dennoch effektiv. Die Befehls- und Kontrollstruktur zum Übermitteln von Anweisungen an mit MyDoom infizierte Computer verwendete acht Hauptserver, die auf der ganzen Welt verteilt waren. Aber es gab auch eine labyrinthische Gruppe untergeordneter Befehls- und Kontrollserver, die das Nachverfolgen erschweren.

"Es ist schwierig, den echten Angreifer zu finden", sagte Sang-keun Jang, ein Virenanalytiker und Sicherheitsingenieur mit der Sicherheit Firma Hauri, Sitz in Seoul.

IP-Adressen (Internet Protocol) - die höchstens ungefähr angeben können, wo ein Computer in ein Netzwerk eingesteckt ist, aber nicht seinen genauen Standort oder wer den Computer bedient - geben Ermittler nur so viele Informationen weiter. Offene Wi-Fi-Hotspots können es einem Angreifer ermöglichen, IP-Adressen häufig zu ändern, sagte Scott Borg, Direktor und Chefökonom der US-amerikanischen Cyber ​​Consequences Unit, einem gemeinnützigen Forschungsinstitut.

"Anonyme Angriffe werden eine Tatsache des Lebens sein", sagte Borg. "Das hat große politische Implikationen. Wenn man nicht schnell und mit Zuversicht zuschreiben kann, sind die meisten Strategien, die auf Abschreckung basieren, nicht mehr lebensfähig. Es gibt eine große Revolution, die bereits begonnen hat und in unserem Verteidigungsdenken durchgeführt werden muss."

Für Südkorea-USA DDOS-Angriffe, eine Sicherheitsfirma verfolgt den Ansatz, dem Geld zu folgen. Viele DDOS-Angriffe sind tatsächlich bezahlte Transaktionen, und wo Geld ist, gibt es einen Weg.

"Nach IP-Adressen zu gehen ist nicht wirklich hilfreich", sagte Max Becker, CTO von Ultrascan Knowledge Process Outsourcing, einer Tochtergesellschaft von Betrugsermittlungsfirma Ultrascan. "Was wir zu tun versuchen, ist, den Leuten zu folgen, die diese Art von Angriffen aufgebaut und bezahlt haben."

Ultrascan verfügt über ein Netzwerk von Informanten, die organisierten kriminellen Banden in Asien verschlossen sind, von denen viele an Cyberkriminalität beteiligt sind sagte Frank Engelsman, ein Ermittler bei Ultrascan mit Sitz in den Niederlanden. Eine Frage ist, ob sich eine kriminelle Gruppe von Nordkorea bezahlt sehen könnte, um die Angriffe durchzuführen, sagte Engelsman.

Das könnte eine Menge Ermittlungsarbeit erfordern. Aber es ist vielleicht einfacher als das.

Cyberkriminelle machen Fehler, wie früher in diesem Jahr, als Forscher ein globales Spionage-Netzwerk namens "GhostNet" aufdeckten, das Computer von tibetischen Nichtregierungsorganisationen, das Kabinett des Dalai Lama und Botschaften von mehr als ein Dutzend Länder. Eine Google-Suche des Forschers Nart Villeneuve ergab einige der verdammenswertesten Beweise - einen unverschlüsselten Server, der von der Suchmaschine indiziert wurde.

Von Rechtschreibfehlern über E-Mail-Adressen bis hin zu Codierungsfehlern können Angreifer Hinweise hinterlassen, die ein Cold Trail heiß.

"Sie wissen, wo die Fehler wahrscheinlich gemacht werden", sagte Steve Santorelli, Direktor der globalen Öffentlichkeitsarbeit für Team Cymru, eine gemeinnützige Internet Security Research-Firma. "Du kannst schnell die richtigen Steine ​​umdrehen."

Und Santorelli fügte hinzu: "Google vergisst nichts."