Ataques a sites norte-americanos e coreanos deixam rastros

Especialistas em segurança de computadores discordam sobre o nível de habilidade dos ataques DDOS (negação de serviço distribuído), que ao longo de alguns dias no início de julho causaram problemas para alguns dos sites da Web, incluindo Bancos sul-coreanos, agências do governo dos EUA e meios de comunicação

O ataque DDOS foi executado por uma botnet ou por um grupo de computadores infectados por software malicioso controlado por um hacker. Esse malware foi programado para atacar os sites da Web, bombardeando-os com solicitações de páginas que excedem em muito o tráfego normal de visitantes. Como resultado, alguns dos sites mais fracos falharam. [

[Leitura adicional: Como remover malware do seu PC Windows]

Embora existam centenas de ataques DDOS que ocorrem todos os dias, o do mês passado tem características interessantes. Primeiro, foi realizado usando um botnet de aproximadamente 180.000 computadores que estava quase inteiramente localizado na Coréia do Sul.

"É muito raro ver um botnet desse tamanho tão localizado", disse Steven Adair da The Shadowserver Foundation., um grupo de vigilância do cibercrime. “Botnets de tamanho grande geralmente demoram para se esforçar e muito esforço dos invasores.”

E questões básicas parecem não ter sido respondidas, como a forma como os invasores conseguiram infectar um número tão grande de computadores na Coreia do Sul. com o código específico que comandou os computadores para atacar uma lista de sites da Web.

A investigação tem ramificações geopolíticas. O Serviço Nacional de Inteligência da Coreia do Sul teria dito aos legisladores do país no início do mês passado que suspeitava que a Coréia do Norte estava envolvida. Apesar de nenhuma evidência pública definitiva ligando a Coréia do Norte aos ataques DDOS, o comportamento linha dura do país o torna um ator conveniente, devido às suas relações espinhosas com os EUA e a Coréia do Sul. A botnet, que agora está inativa, parece ser personalizada. -built para os ataques. Muitas vezes, as pessoas que querem derrubar um site da Web alugam tempo em um botnet de seu controlador, conhecido como um pastor de botnets, pagando uma pequena taxa por máquina, como US $ 20. Botnets também podem ser usados ​​para atividades na Internet, como envio de spam.

Os analistas sabem que os computadores que compõem a botnet foram infectados com uma variação do MyDoom, um software malicioso que envia repetidamente para outros computadores uma vez que infectou um PC. O MyDoom estreou com consequências devastadoras em 2004, tornando-se o worm de e-mail mais rápido da história. Agora, ele é rotineiramente limpo de PCs que executam software antivírus, embora muitos computadores não possuam esse software de proteção instalado.

O código MyDoom foi chamado de amador, mas ainda assim foi eficaz. A estrutura de comando e controle para fornecer instruções para computadores infectados com o MyDoom usava oito servidores principais espalhados pelo mundo. Mas também havia um grupo labiríntico de servidores de comando e controle subordinados que dificultavam o rastreamento.

"É difícil encontrar o invasor real", disse Sang-keun Jang, analista de vírus e engenheiro de segurança do setor de segurança. Hauri, com sede em Seul.

Endereços IP (Protocolo da Internet) - que, no máximo, podem identificar onde um computador está conectado em uma rede, mas não a sua localização exata ou quem está operando o computador - apenas dão aos investigadores muita informação para continuar. Os hotspots Wi-Fi abertos podem permitir que um invasor altere os endereços IP com frequência, disse Scott Borg, diretor e economista-chefe da Cyber ​​Consequences Unit dos EUA, um instituto de pesquisa sem fins lucrativos.

"Os ataques anônimos serão um fato da vida", disse Borg. "Isso tem grandes implicações políticas. Se você não pode atribuir rapidamente e com confiança, então a maioria das estratégias baseadas na dissuasão não são mais viáveis. Há uma grande revolução que já está em andamento e precisa ser levada a cabo em nosso pensamento de defesa."

Para a Coreia do Sul-EUA Ataques DDOS, uma empresa de segurança está tomando a abordagem de seguir o dinheiro. Muitos ataques DDOS são realmente transações pagas, e onde há dinheiro, há alguma trilha.

"Ir atrás de endereços IP não é realmente útil", disse Max Becker, CTO da Ultrascan Knowledge Process Outsourcing, uma subsidiária da firma de investigação de fraude Ultrascan. "O que estamos tentando fazer é ir atrás das pessoas que montam e pagam por esses tipos de ataques."

Ultrascan tem uma rede de informantes que são fechados para grupos criminosos organizados na Ásia, muitos dos quais estão envolvidos em cibercrimes., disse Frank Engelsman, um investigador da Ultrascan baseado na Holanda. Uma pergunta é se poderia ser provado que um grupo criminoso havia sido pago pela Coréia do Norte para realizar os ataques, disse Engelsman.

Isso poderia exigir muito trabalho investigativo. Mas pode ser mais fácil do que isso.

Cibercriminosos cometem erros, como no início deste ano, quando pesquisadores descobriram uma rede de espionagem global chamada "GhostNet" que infectou computadores pertencentes a organizações não-governamentais tibetanas, o escritório particular do Dalai Lama e embaixadas de mais de uma dúzia de países. Uma pesquisa no Google feita pelo pesquisador Nart Villeneuve revelou algumas das evidências mais contundentes - um servidor não criptografado indexado pelo mecanismo de busca.

De erros de ortografia, endereços de e-mail a erros de codificação, os invasores podem deixar pistas que poderiam

"Você sabe onde os erros provavelmente serão cometidos", disse Steve Santorelli, diretor de divulgação global da Team Cymru, uma empresa de pesquisa de segurança na Internet sem fins lucrativos. "Você pode virar as pedras certas rapidamente."

E Santorelli acrescentou: "O Google não esquece nada".