التحقيق في الهجمات السيبرانية تمتد حول العالم

يوم الثلاثاء ، بائع الأمن الفيتنامي "باخ خوا" (Bkis Security Security)) قالت أنها حددت خادم رئيسي للتحكم والسيطرة يستخدم لتنسيق هجمات الحرمان من الخدمة ، التي أغرقت مواقع الويب الحكومية الرئيسية في الولايات المتحدة وكوريا الجنوبية.

يتم استخدام خادم الأوامر والتحكم لتوزيع تعليمات إلى أجهزة zombie ، التي تشكل شبكة بوت نت يمكن استخدامها لقصف مواقع الويب بالحركة ، مما يجعل المواقع غير مجدية. كان الخادم على عنوان IP (بروتوكول الإنترنت) يستخدمه Global Digital Broadcast ، وهي شركة تكنولوجيا IP TV مقرها في برايتون ، إنجلترا ، وفقًا لـ Bkis. . > قام الخادم الرئيسي بتوزيع الإرشادات على ثمانية خوادم للتحكم والقيادة تستخدم في الهجمات. وقال Bkis ، الذي تمكن من السيطرة على اثنين من الخوادم الثمانية ، أنه تم استخدام 166،908 قرصنة مخترقة في 74 دولة في الهجمات وتمت برمجة للحصول على تعليمات جديدة كل ثلاث دقائق.

لكن الخادم الرئيسي ليس في المملكة المتحدة؛ في ميامي ، وفقًا لما ذكره تيم وراي ، أحد مالكي Digital Global Broadcast ، الذي تحدث إلى خدمة IDG للأخبار مساء الثلاثاء بتوقيت لندن.

الخادم ينتمي إلى Digital Latin America (DLA) ، التي تعد واحدة من Digital شركاء البث العالمي. تشفر DLA برمجة أمريكا اللاتينية للتوزيع عبر أجهزة IP TV المتوافقة ، مثل أجهزة فك التشفير.

يتم أخذ برامج جديدة من الأقمار الصناعية ومشفرة في الشكل الصحيح ، ثم ترسل عبر VPN (الشبكة الخاصة الافتراضية) إلى المملكة المتحدة ، حيث يوزع Digital Global Broadcast المحتوى ، قال Wray. جعل اتصال VPN يبدو أن الخادم الرئيسي ينتمي إلى Digital Global Broadcast عندما يكون في مركز بيانات DLA في ميامي.

سرعان ما استبعد المهندسون من Digital Broadcast وقوع الهجمات مع حكومة كوريا الشمالية ، والتي اقترحتها سلطات كوريا الجنوبية قد يكون مسؤولاً.

تم إخطار Digital Global Broadcast بمشكلة من قبل مزود الاستضافة C4L ، قال Wray. كما تم الاتصال بشركته من قبل وكالة الجريمة المنظمة الخطيرة في المملكة المتحدة (SOCA). وقالت مسؤولة في منظمة SOCA إنها لا تستطيع تأكيد أو رفض التحقيق. لا يمكن الوصول إلى مسؤولي DLA على الفور.

سوف يحتاج المحققون إلى الاستيلاء على هذا الخادم الرئيسي لتحليل الطب الشرعي. غالبًا ما يكون هناك سباق ضد المتسللين ، لأنه إذا كان الخادم لا يزال تحت سيطرتهم ، يمكن محو البيانات المهمة التي من شأنها أن تساعد في إجراء تحقيق.

"إنها عملية شاقة وتريد أن تفعل ذلك في أسرع وقت ممكن" جوزيه نازاريو ، مدير البحث الأمني ​​في شبكات أربور.

تبحث عن بيانات مثل ملفات السجل ، وملفات التدقيق والملفات التي تم تحميلها من قبل المحققين ، حسب نازاريو. وقال: "الكأس المقدسة التي تبحث عنها هي أجزاء من الطب الشرعي تكشف عن المكان الذي اتصل به المهاجم ومتى".

ولإجراء الهجمات ، قام القراصنة بتعديل جزء من البرمجيات الخبيثة القديمة نسبيًا المسماة MyDoom ، والتي ظهرت لأول مرة في يناير 2004. MyDoom لديها خصائص worm البريد الإلكتروني ويمكن أيضاً تنزيل برامج ضارة أخرى إلى جهاز كمبيوتر وتمت برمجتها للقيام بهجمات رفض الخدمة ضد مواقع الويب.

تحليل المتغير MyDoom المستخدم في الهجمات ليس ذلك محرج. وقال نازاريو "ما زلت أعتقد أن الشفرة قذرة للغاية ، والتي آمل أن تعني أن [المتسللين] يتركون دربًا جيدًا للأدلة".