Pagsisiyasat sa mga Cyberattack Lumalawak sa Globe

Sa Martes, ang Vietnamese seguridad vendor Bach Khoa Internetwork Security (Bkis) ay nagsabi na nakilala nito ang isang master command-and-control server na ginagamit upang i-coordinate ang mga denial-of-service na pag-atake, na kinuha ang mga pangunahing US at South Korean na Web site ng pamahalaan.

Ang command-and-control server ay ginagamit upang ipamahagi mga tagubilin sa mga PC ng zombie, na bumubuo ng isang botnet na maaaring magamit upang ma-bombard ang mga Web site na may trapiko, ang pag-render ng mga site ay walang silbi. Ang server ay nasa isang IP (Internet Protocol) address na ginagamit ng Global Digital Broadcast, isang kumpanya ng teknolohiya ng IP TV na nakabase sa Brighton, England, ayon kay Bkis.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Na ibinahagi ng master server ang mga tagubilin sa walong iba pang mga command-and-control server na ginagamit sa mga pag-atake. Ang Bkis, na pinamamahalaang makontrol ang dalawa sa walong server, ay nagsabi na ang 166,908 na na-hack na mga computer sa 74 na bansa ay ginamit sa pag-atake at na-program upang makakuha ng mga bagong tagubilin tuwing tatlong minuto.

Ngunit ang master server ay wala sa UK; Sa Miami, ayon sa Tim Wray, isa sa mga may-ari ng Digital Global Broadcast, na nagsalita sa IDG News Service sa Martes ng gabi, oras ng London.

Ang server ay kabilang sa Digital Latin America (DLA), na isa sa Digital Mga kasosyo sa Global Broadcast. Ang DLA ay naka-encode ng Latin American programming para sa pamamahagi sa mga IP na katugmang mga aparatong TV, tulad ng mga set-top box.

Bagong mga programa ay kinuha mula sa satellite at naka-encode sa tamang format, pagkatapos ay ipinadala sa VPN (Virtual Private Network) sa UK, kung saan ibinahagi ng Digital Global Broadcast ang nilalaman, sinabi ni Wray. Ang koneksyon ng VPN ay lumitaw na ang master server ay kabilang sa Digital Global Broadcast kapag aktwal na nasa Miami data center ng DLA.

Ang mga inhinyero mula sa Digital Global Broadcast ay mabilis na bawas na ang mga pag-atake ay nagmula sa gobyerno ng North Korea, na ipinahiwatig ng mga awtoridad ng South Korea maaaring may pananagutan.

Digital Global Broadcast ay naabisuhan ng isang problema sa pamamagitan ng hosting provider nito, C4L, sinabi Wray. Ang kanyang kumpanya ay nakipag-ugnayan din sa pamamagitan ng Serious Organized Crime Agency (SOCA) ng U.K. Sinabi ng opisyal ng SOCA na hindi siya makumpirma o tanggihan ang imbestigasyon. Ang mga opisyal ng DLA ay hindi agad maabot.

Kailangan ng mga imbestigador na ang master server para sa forensic analysis. Ito ay madalas na isang lahi laban sa mga hacker, dahil kung ang server ay pa rin sa ilalim ng kanilang kontrol, kritikal na data ay maaaring mabura na makakatulong sa isang pagsisiyasat.

"Ito ay isang nakakapagod na proseso at nais mong gawin ito sa lalong madaling panahon," sinabi Jose Nazario, tagapangasiwa ng seguridad na pananaliksik para sa Arbor Networks.

Sinabi ni Nazario na ang data tulad ng mga file ng pag-log, audit trail at na-upload na mga file ay hinahanap ng mga investigator. "Ang banal na kopya na iyong hinahanap ay mga piraso ng forensics na naghahayag kung saan ang magsasalakay ay nakakonekta mula at kailan," sinabi niya.

Upang magsagawa ng pag-atake, binago ng mga hacker ang isang lumang lumang piraso ng malware na tinatawag na MyDoom, na unang lumitaw sa Enero 2004. Ang MyDoom ay may mga katangian ng worm ng e-mail at maaari ring mag-download ng iba pang malware sa isang PC at ma-program upang magsagawa ng mga pag-atake ng denial-of-service laban sa mga Web site.

Pagsusuri ng variant MyDoom na ginamit sa pag-atake ay hindi kahanga-hanga. "Iniisip ko pa rin na ang code ay medyo masikip, na kung saan ang pag-asa ko ay nangangahulugan na sila [ang mga hackers] mag-iwan ng isang magandang patakbuhin trail," Nazario sinabi.