Les attaques contre les sites Web des États-Unis et de la Corée laissent derrière eux une piste sinueuse

Les experts en sécurité informatique ne sont pas d'accord sur le niveau de compétence des attaques DDOS (déni de service distribué) qui, au début du mois de juillet, ont causé des problèmes pour certains des sites Web ciblés, notamment

L'attaque DDOS a été exécutée par un botnet, ou un groupe d'ordinateurs infectés par un logiciel malveillant contrôlé par un pirate informatique. Ce logiciel malveillant a été programmé pour attaquer les sites Web en les bombardant de demandes de pages qui dépassent de loin le trafic normal des visiteurs.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Bien qu'il y ait des centaines d'attaques DDOS qui se produisent tous les jours, celle du mois dernier a des caractéristiques intéressantes. Tout d'abord, il a été réalisé à l'aide d'un botnet d'environ 180 000 ordinateurs presque entièrement situés en Corée du Sud.

"Il est très rare de voir un botnet de cette taille si localisé", a déclaré Steven Adair de The Shadowserver Foundation., un groupe de surveillance de la cybercriminalité. "Les botnets de grande taille prennent généralement du temps pour se construire et beaucoup d'efforts de la part des attaquants."

Et les questions de base semblent être sans réponse, comme la façon dont les attaquants ont pu infecter un si grand nombre d'ordinateurs en Corée du Sud avec le code spécifique qui a réquisitionné les ordinateurs pour attaquer une liste de sites Web.

L'enquête a des ramifications géopolitiques. Le service de renseignement national sud-coréen aurait déclaré aux législateurs du pays au début du mois dernier qu'il soupçonnait la Corée du Nord d'être impliquée. Malgré l'absence de preuves publiques définitives établissant un lien entre la Corée du Nord et les attaques DDOS, le comportement intransigeant du pays en fait un acteur commode à cause de ses relations épineuses avec les Etats-Unis et la Corée du Sud.

Le botnet est maintenant inactif - Construit pour les attaques. Plusieurs fois, les personnes qui veulent mettre hors ligne un site Web vont louer du temps sur un botnet à partir de son contrôleur, connu sous le nom d'un éleveur de botnet, en payant une petite taxe par machine, comme US $ 0.20. Les botnets peuvent également être utilisés pour des activités sur Internet, telles que l'envoi de spam.

Les analystes savent que les ordinateurs du botnet ont été infectés par une variante de MyDoom, un logiciel malveillant qui se répète à plusieurs reprises a infecté un PC. MyDoom a fait ses débuts avec des conséquences dévastatrices en 2004, devenant le ver de messagerie le plus rapide de l'histoire. Il est maintenant nettoyé régulièrement des ordinateurs qui exécutent un logiciel antivirus, bien que de nombreux ordinateurs ne disposent pas d'un tel logiciel de protection installé.

Le code MyDoom a été appelé amateur, mais il a néanmoins été efficace. La structure de commande et de contrôle pour fournir des instructions aux ordinateurs infectés par MyDoom utilisait huit serveurs principaux dispersés dans le monde entier. Mais il y avait aussi un groupe labyrinthique de serveurs de commandement et de contrôle subordonnés qui rendait plus difficile le traçage.

"Il est difficile de trouver le véritable attaquant", a déclaré Sang-keun Jang, analyste de virus et ingénieur de sécurité. Hauri, basée à Séoul.

Les adresses IP (Internet Protocol) - qui permettent au plus d'identifier approximativement où un ordinateur est branché sur un réseau mais pas son emplacement précis ou qui utilise l'ordinateur - ne donnent aux enquêteurs que beaucoup d'informations pour continuer. Les hotspots Wi-Fi ouverts peuvent permettre à un attaquant de modifier fréquemment les adresses IP, a déclaré Scott Borg, directeur et économiste en chef de l'U.S. Cyber ​​Consequences Unit, un institut de recherche à but non lucratif.

"Les attaques anonymes vont faire partie de la vie", a déclaré M. Borg. «Si vous ne pouvez pas attribuer rapidement et en toute confiance, la plupart des stratégies basées sur la dissuasion ne sont plus viables, il y a une grande révolution qui est déjà en cours et qui doit être menée dans notre esprit de défense.

Pour la Corée du Sud et les États-Unis Attaques DDOS, une société de sécurité prend l'approche de suivre l'argent.

Ultrascan. "Ce que nous essayons de faire, c'est d'attaquer ceux qui ont organisé et payé ce genre d'attaques."

Ultrascan a un réseau d'informateurs fermés aux gangs criminels organisés en Asie, dont beaucoup sont impliqués dans la cybercriminalité, a déclaré Frank Engelsman, un enquêteur d'Ultrascan basé aux Pays-Bas. Une question est de savoir s'il peut être prouvé qu'un groupe criminel a été payé par la Corée du Nord pour mener les attaques, a dit Engelsman.

Cela pourrait demander beaucoup de travail d'enquête.

Les cybercriminels commettent des erreurs, comme cela a été le cas cette année lorsque des chercheurs ont découvert un réseau mondial d'espionnage appelé "GhostNet" qui infectait des ordinateurs appartenant à des organisations non gouvernementales tibétaines, le bureau privé du Dalaï Lama et des ambassades. plus d'une douzaine de pays. Une recherche de Google par le chercheur Nart Villeneuve a révélé certaines des preuves les plus accablantes - un serveur non crypté indexé par le moteur de recherche.

Des fautes d'orthographe, des adresses e-mail aux erreurs de codage, les attaquants peuvent laisser des traces. "Vous savez où les erreurs sont susceptibles d'être faites", a déclaré Steve Santorelli, directeur de la sensibilisation mondiale pour Team Cymru, une société de recherche sur la sécurité Internet à but non lucratif. "Vous pouvez retourner rapidement les bonnes roches."

Et Santorelli a ajouté: "Google n'oublie rien."