Investigação em ataques cibernéticos ao redor do mundo

Autoridades britânicas iniciaram uma investigação sobre os recentes ataques cibernéticos que afetaram sites nos EUA e na Coréia do Sul, como a pista para encontrar os criminosos espalhados pelo mundo. Na terça-feira, o fornecedor de segurança vietnamita Bach Khoa Internetwork Security (Bkis) disse que havia identificado um servidor mestre de comando e controle usado para coordenar os ataques de negação de serviço, que derrubaram os principais sites do governo dos EUA e da Coréia do Sul.

Um servidor de comando e controle é usado para distribuir instruções para PCs zumbis, que formam uma botnet que pode ser usada para bombardear sites com tráfego, tornando os sites inúteis. O servidor estava em um endereço IP (Internet Protocol) usado pela Global Digital Broadcast, uma empresa de tecnologia de TV IP baseada em Brighton, Inglaterra, de acordo com Bkis.

[Leia mais: Como remover malware do seu PC com Windows]

Esse servidor mestre distribuiu instruções para oito outros servidores de comando e controle usados ​​nos ataques. A Bkis, que conseguiu controlar dois dos oito servidores, disse que 166.908 computadores hackeados em 74 países foram usados ​​nos ataques e foram programados para receber novas instruções a cada três minutos.

Mas o servidor principal não está no REINO UNIDO; É em Miami, de acordo com Tim Wray, um dos proprietários da Digital Global Broadcast, que falou ao IDG News Service na noite de terça-feira, horário de Londres.

O servidor pertence à Digital Latin America (DLA), que é um dos Digital Parceiros da Global Broadcast. O DLA codifica a programação da América Latina para distribuição em dispositivos compatíveis com TV IP, como decodificadores.

Novos programas são obtidos do satélite e codificados no formato adequado e, em seguida, enviados via VPN (Virtual Private Network) para o Reino Unido, onde a Digital Global Broadcast distribui o conteúdo, disse Wray. A conexão VPN fez parecer que o servidor master pertencia à Digital Global Broadcast quando estava no datacenter da DLA em Miami.

Engenheiros da Digital Global Broadcast rapidamente descartaram que os ataques se originaram do governo norte-coreano, que as autoridades sul-coreanas sugeriram pode ser responsável.

A Digital Global Broadcast foi notificada de um problema por seu provedor de hospedagem, C4L, disse Wray. Sua empresa também foi contatada pela Grave Organized Crime Agency (SOCA), do Reino Unido. Uma autoridade da SOCA disse que não poderia confirmar ou negar uma investigação. Funcionários da DLA não puderam ser imediatamente alcançados

Os investigadores precisarão capturar o servidor mestre para análise forense. Muitas vezes é uma corrida contra os hackers, pois se o servidor ainda estiver sob seu controle, os dados críticos podem ser apagados para ajudar na investigação.

"É um processo tedioso e você quer fazer isso o mais rápido possível", disse. Jose Nazario, gerente de pesquisa de segurança da Arbor Networks.

Dados como arquivos de log, trilhas de auditoria e arquivos enviados serão procurados pelos investigadores, disse Nazario. "O Santo Graal que você está procurando são peças de perícia que revelam onde o atacante se conectou e quando", disse ele.

Para conduzir os ataques, os hackers modificaram um malware relativamente antigo chamado MyDoom, que apareceu pela primeira vez em Janeiro de 2004. O MyDoom tem características de worm de e-mail e também pode baixar outros malwares para um PC e ser programado para realizar ataques de negação de serviço contra sites da Web.

A análise da variante MyDoom usada nos ataques não é impressionante. "Eu ainda acho que o código é bem desleixado, o que espero que signifique que eles [os hackers] deixem uma pista de boa evidência", disse Nazario.