الهجمات على الولايات المتحدة ، ومواقع الويب الكورية ترك دربا متعرجا

إن التحقيق في الهجمات ضد مواقع الويب رفيعة المستوى في كوريا الجنوبية والولايات المتحدة هو مطاردة إوزة إلكترونية متعرجة قد لا تؤدي إلى نتيجة نهائية حول الهوية

يختلف خبراء أمان الكمبيوتر على مستوى مهارة هجمات DDOS (رفض الخدمة الموزعة) ، والتي تسببت على مدار بضعة أيام في بداية يوليو في مشاكل لبعض مواقع الويب المستهدفة ، بما في ذلك البنوك الكورية الجنوبية ، الوكالات الحكومية الأمريكية ووسائل الإعلام.

تم تنفيذ هجوم DDOS بواسطة الروبوتات ، أو مجموعة من أجهزة الكمبيوتر المصابة ببرامج خبيثة يسيطر عليها هاكر. تمت برمجة هذه البرامج الضارة لمهاجمة مواقع الويب عن طريق قصفها بطلبات الصفحة التي تتجاوز بكثير حركة الزوار العادية. نتيجة لذلك ، بعض المواقع الأضعف انحرفت.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

في حين أن هناك المئات من هجمات DDOS التي تحدث كل يوم ، فإن واحدة من الشهر الماضي لها خصائص مثيرة للاهتمام. أولاً ، تم تنفيذها باستخدام شبكة بوتاجونية تصل إلى ما يقدر بنحو 180،000 جهاز كمبيوتر كانت موجودة بالكامل تقريبًا داخل كوريا الجنوبية.

"من النادر جدًا رؤية شبكة من هذا الحجم بحيث تكون محلية" ، قال ستيفن أدير من مؤسسة Shadowserver. ، مجموعة مراقبة الجريمة السيبرانية. "عادة ما تستغرق برامج botnet كبيرة الحجم وقتًا لبناء الكثير من الجهد من المهاجمين."

ويبدو أن الأسئلة الأساسية لم يتم الرد عليها ، مثل كيف كان المهاجمون قادرين على إصابة عدد كبير من أجهزة الكمبيوتر في كوريا الجنوبية مع الرمز المحدد الذي قام بتوجيه أجهزة الكمبيوتر لمهاجمة قائمة بمواقع الويب.

يشتمل البحث على تداعيات جيوسياسية. وأفادت تقارير أن المخابرات الوطنية الكورية الجنوبية أخبرت المشرعين في البلاد في أوائل الشهر الماضي أنها تشتبه في تورط كوريا الشمالية. على الرغم من عدم وجود أدلة عامة قاطعة تربط كوريا الشمالية بهجمات DDOS ، فإن السلوك المتشدد للبلاد يجعلها لاعبا مناسبا لإلقاء اللوم عليه نظرا لعلاقاتها الشائكة مع الولايات المتحدة وكوريا الجنوبية.

يبدو أن الروبوتات ، غير النشطة الآن ، مخصصة محمولة للهجمات. في كثير من الأحيان ، سيقوم الأشخاص الذين يرغبون في ضرب موقع ويب دون الاتصال بالإنترنت باستئجار الوقت على الروبوتات من جهاز التحكم الخاص بهم ، والمعروف باسم راعي بوت نت ، ودفع رسومًا صغيرة لكل جهاز ، مثل 20 دولارًا أمريكيًا. يمكن أيضًا استخدام الشبكات لأنشطة الإنترنت ، مثل إرسال البريد العشوائي.

يعرف المحللون أن أجهزة الكمبيوتر التي تضم الروبوتات كانت مصابة بعدد من MyDoom ، وهي عبارة عن قطعة من البرامج الضارة التي ترسل نفسها مرارًا وتكرارًا إلى أجهزة كمبيوتر أخرى يصيب جهاز الكمبيوتر. ظهرت MyDoom مع نتائج مدمرة في عام 2004 ، لتصبح أسرع دودة البريد الإلكتروني انتشار في التاريخ. والآن يتم تطهيرها بشكل روتيني من أجهزة الكمبيوتر التي تقوم بتشغيل برامج مكافحة الفيروسات ، على الرغم من أن العديد من أجهزة الكمبيوتر لا تحتوي على برامج واقية من هذا القبيل.

وقد تم استدعاء رمز MyDoom الهواة ، لكنه كان مع ذلك فعالاً. استخدم هيكل القيادة والتحكم لتقديم الإرشادات إلى أجهزة الكمبيوتر المصابة ب MyDoom ثمانية خوادم رئيسية مبعثرة حول العالم. ولكن هناك أيضا مجموعة من خوادم القيادة والسيطرة المتخلفة التي جعلت من الصعب تتبعها.

"من الصعب العثور على المهاجم الحقيقي" ، يقول سانغ كيون جانج ، وهو محلل فيروس ومهندس أمن مع الأمن. شركة Hauri ، ومقرها في سيول.

عناوين IP (بروتوكول الإنترنت) - والتي يمكنها على الأكثر تحديد مكان توصيل الكمبيوتر على الشبكة فقط دون تحديد موقعه بالضبط أو تشغيل جهاز الكمبيوتر - تعطي فقط المحققين الكثير من المعلومات للذهاب. يمكن أن تسمح نقاط اتصال Wi-Fi المفتوحة للمهاجمين بتغيير عناوين IP بشكل متكرر ، كما يقول سكوت بورغ ، كبير الاقتصاديين في وحدة العواقب السيبرانية في الولايات المتحدة ، وهو معهد أبحاث غير ربحي.

وقال بورج "الهجمات المجهولة ستكون حقيقة من حقائق الحياة." "وهذا له تداعيات كبيرة على السياسة. إذا لم تستطع أن تنسب بسرعة وبثقة ، فإن معظم الاستراتيجيات التي تعتمد على الردع لم تعد قابلة للتطبيق. هناك ثورة كبيرة جارية بالفعل وتحتاج إلى تنفيذها في تفكيرنا الدفاعي."

بالنسبة لكوريا الجنوبية والولايات المتحدة هجمات DDOS ، تتخذ شركة أمنية واحدة اتباع نهج المال. العديد من هجمات DDOS هي في الواقع معاملات مدفوعة ، وحيث يوجد المال ، هناك بعض الدرب.

"إن الانتقال بعد عناوين IP ليس مفيدًا حقًا ،" قال ماكس بيكر ، CTO لشركة Outrascan Knowledge Process Outsourcing ، وهي شركة تابعة لشركة تحقيق الاحتيال Ultrascan. "ما نحاول القيام به هو ملاحقة الأشخاص الذين قاموا بإعداد ودفع ثمن هذه الأنواع من الهجمات."

Ultrascan لديها شبكة من المخبرين الذين يتم إغلاقهم للعصابات الإجرامية المنظمة في آسيا ، وكثير منها متورط في الجريمة السيبرانية قال فرانك إنجلسمان ، وهو محقق في Ultrascan مقره في هولندا. والسؤال الوحيد هو ما إذا كان يمكن إثبات أن جماعة كوريا قد دفعت مجموعة إجرامية لتنفيذ الهجمات ، حسب قول إنجلزمان.

وقد يستغرق ذلك الكثير من التحقيق. ولكن قد يكون الأمر أسهل من ذلك.

ارتكب مجرمو الإنترنت أخطاء ، مثلما حدث في وقت سابق من هذا العام عندما كشف باحثون عن شبكة تجسس عالمية أطلق عليها اسم "جوست نت" GhostNet التي صدمت أجهزة كمبيوتر تابعة لمنظمات أهلية تبتية ، ومكتب الدالاي لاما الخاص ، وسفارات أكثر من اثني عشر بلدا. وقد كشف بحث أجرته Google من قبل الباحث Nart Villeneuve عن بعض أكثر الأدلة دسامة - وهو خادم غير مفهروم مفهرس بواسطة محرك البحث.

من الأخطاء الإملائية ، إلى عناوين البريد الإلكتروني إلى أخطاء التشفير ، يمكن للمهاجمين ترك أدلة قد تؤدي إلى وقال ستيف سانتوريلي ، مدير التوعية العالمية لشركة Team Cymru ، وهي شركة أبحاث أمنية غير ربحية على الإنترنت: "أنت تعرف أين من المحتمل ارتكاب الأخطاء". "يمكنك تدوير الصخور الصحيحة بسرعة."

وأضاف Santorelli: "لا تنس شركة Google أي شيء."