Ataki DDoS wymierzone w Koreę Południową i USA pochodziły z Wielkiej Brytanii

Wciąż nie ma jasnych dowodów na to, że za opisanymi atakami stoi Korea Północna. Eksperci z wietnamskiej organizacji bezpieczeństwa internetowego Bkis, która działa przy politechnice w Hanoi i należy do ACERT (Asian Pacific Computer Emergency Response Team) twierdzą, że udało im się rozpracować dwa spośród ośmiu zarządzających siecią botów serwerów typu Command and Control (C&C).

W ten sposób zdołali oni zlokalizować adres IP serwera głównego. Adres o numerze 195.90.118.xxx jest zarejestrowany w Wielkiej Brytanii, a kryjący się za nim komputer używa systemu Windows Server 2003. Informacje te zostały przekazane południowokoreańskiemu i amerykańskiemu oddziałowi CERT-u w celu odnalezienia właściciela adresu. Jednak to, że serwer główny rezyduje w Wielkiej Brytanii, nie oznacza wcale, że napastnicy są mieszkańcami tego kraju. Przestępcy mogli wcześniej zdyskredytować obcy serwer, aby potem go wykorzystać do ataku.

Eksperci komputerowi zidentyfikowali też liczbę maszyn zombie kontrolowanych przez wspomniane osiem serwerów. Początkowo była mowa o światowej sieci botów obejmującej w przybliżeniu 6. tysięcy komputerów. Niestety, jest ich znacznie więcej: łącznie 166 908 w 74 krajach, a większość z nich działa w Korei Południowej, USA, Chinach i Japonii.

Południowokoreańska Komisja Łączności (KCC) potwierdziła, że wyniki analizy wietnamskich ekspertów w dużej mierze pokrywają się z rezultatami jej własnej ekspertyzy. Porozumiano się już z brytyjskimi władzami w celu zlokalizowania źródła ataków. KCC wskazuje jednak na pewne nieścisłości w wynikach analiz. Badania przeprowadzone na zlecenie komisji wykazały bowiem, że komputery zombie nie były kontrolowane przez serwery C&C, lecz działały w sposób autonomiczny.

wydanie internetowe www.heise-online.pl