Untersuchung von Cyberangriffen auf der ganzen Welt

Britische Behörden haben eine Untersuchung der jüngsten Cyberattacken eingeleitet, die Webseiten in den USA und Südkorea lahmgelegt haben, da sich die Spur der Täter auf der ganzen Welt ausbreitet.

Am Dienstag hat der vietnamesische Sicherheitsanbieter Bach Khoa Internetwork Security (Bkis) sagte, es habe einen Master-Command-and-Control-Server zur Koordinierung der Denial-of-Service-Attacken identifiziert, der wichtige Webseiten der US-amerikanischen und südkoreanischen Regierung lahmlegte.

Zur Verteilung wird ein Command-and-Control-Server verwendet Anweisungen an Zombie-PCs, die ein Botnet bilden, mit dem Websites mit Traffic bombardiert werden können, wodurch die Websites nutzlos werden. Der Server befand sich laut Bkis in einer IP (Internet Protocol) -Adresse von Global Digital Broadcast, einem IP-TV-Technologieunternehmen mit Sitz in Brighton, England.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Dieser Master-Server verteilte Anweisungen an acht andere Command-and-Control-Server, die bei den Angriffen verwendet wurden. Bkis, das die Kontrolle über zwei der acht Server gewinnen konnte, sagte, dass 166.908 gehackte Computer in 74 Ländern bei den Angriffen verwendet wurden und alle drei Minuten neue Anweisungen erhalten.

Aber der Masterserver ist nicht in der VEREINIGTES KÖNIGREICH; Es ist in Miami, sagte Tim Wray, einer der Besitzer von Digital Global Broadcast, sprach mit IDG News Service am Dienstag Abend, Londoner Zeit.

Der Server gehört zu Digital Latin America (DLA), die eine der Digital ist Global Broadcast-Partner. DLA codiert lateinamerikanische Programme für die Verbreitung über IP-TV-kompatible Geräte wie Set-Top-Boxen.

Neue Programme werden vom Satelliten genommen und in das richtige Format codiert, dann über VPN (Virtual Private Network) nach Großbritannien gesendet, wo Digital Global Broadcast den Inhalt verteilt, sagte Wray. Die VPN-Verbindung machte den Eindruck, dass der Master-Server zu Digital Global Broadcast gehörte, als er sich tatsächlich im DLA-Rechenzentrum in Miami befindet.

Ingenieure von Digital Global Broadcast haben schnell darauf hingewiesen, dass die Angriffe von der nordkoreanischen Regierung ausgehen

Digital Global Broadcast wurde von seinem Hosting-Provider C4L über ein Problem informiert, sagte Wray. Seine Firma wurde auch von der Serious Organized Crime Agency (SOCA) der UK kontaktiert. Ein SOCA-Beamter sagte, sie könne eine Untersuchung weder bestätigen noch dementieren. DLA-Beamte konnten nicht sofort erreicht werden.

Die Ermittler müssen diesen Master-Server für die forensische Analyse nutzen. Es ist oft ein Wettlauf gegen die Hacker, denn wenn der Server noch unter ihrer Kontrolle steht, könnten kritische Daten gelöscht werden, die eine Untersuchung erleichtern würden.

"Es ist ein langwieriger Prozess und du willst es so schnell wie möglich machen", sagte Jose Nazario, Leiter der Sicherheitsforschung für Arbor Networks.

Daten wie Protokolldateien, Prüfpfade und hochgeladene Dateien werden von den Ermittlern gesucht, sagte Nazario. "Der heilige Gral, nach dem du suchst, sind Stücke der Forensik, die zeigen, wo der Angreifer sich wann und von wem verbündet hat", sagte er.

Um die Attacken durchzuführen, modifizierten die Hacker eine relativ alte Malware namens MyDoom, die zuerst erschien Januar 2004. MyDoom hat E-Mail-Wurmcharakteristiken und kann auch andere Malware auf einen PC herunterladen und für Denial-of-Service-Attacken auf Websites programmiert werden.

Die Analyse der MyDoom-Variante in den Angriffen ist nicht so beeindruckend. "Ich denke immer noch, dass der Code ziemlich schlampig ist, was hoffentlich bedeutet, dass sie [die Hacker] eine gute Spur hinterlassen", sagte Nazario.