Koreański DDoS - to jeszcze nie koniec?

Choć chwilowo żadne koreańskie witryny nie są atakowane przez internetowych przestępców, to jednak prawdopodobnie wielki atak DDoS na tamtejsze serwisy internetowe jeszcze się nie zakończył. Zdaniem specjalistów, "napastnicy" przygotowują się do kolejnej fazy swojej operacji - ma ona rozpocząć się dziś wieczorem czasu koreańskiego.

Z analiz przeprowadzonych przez specjalistów z południowokoreańskiej firmy AhnLab wynika, że druga fala ataków będzie nieco mniejsza i bardziej skoncetrowana - zaatakowanych zostanie prawdopodobnie znacznie mniej witryn niż wczoraj. Na pewno znajdą się wśród nich serwisy rządowe, a także strona gazety Chosun Ilbo oraz banku Kookmin.

Ustalono, że podobnie jak wczoraj będą to klasyczne ataki DDoS (distributed denial of service), polegające na zasypaniu witryn-celów ogromną liczbą odwołań, które mają spowodować przeciążenie i wyłączenie się serwerów. Przestępcy wykorzystują do tego celu sieci komputerów-zombie (tzw. botnety) - własne lub wynajęte specjalnie na tę okazję.

Środowe ataki skierowane były przeciwko najpopularniejszym koreańskim witrynom - zaatakowane zostały popularne portale, gazety, serwisy aukcyjne, strony e-banków oraz witryny instytucji rządowych i publicznych. Nieznani na razie sprawcy zaatakowali też przed kilkoma dniami strony amerykańskie - jednak tamtejsi specjaliści ds. bezpieczeństwa zdołali zminimalizować skutki tych ataków. W Korei Południowej było znacznie gorzej - tam DDoS-y spowodowały wyłączenie większości stron. Szerzej pisaliśmy o tym w tekście "USA i Korea Południowa zaatakowane w Sieci".

Do ataków na razie nikt się nie przyznaje - ale to, że celami stały się USA i Korea Południowa, sugeruje, że ich inspiratorami mogły był władze pozostającej z nimi w stałym konflikcie Korei Północnej. Specjaliści ds. bezpieczeństwa, którzy badają tę sprawę, zastrzegają jednak, że do tej pory nie natrafiono na najmniejszą poszlakę łączącą władze w Phenianie z tymi atakami.

Wiadomo już, że do ich przeprowadzenia przestępcy wykorzystali botnet składający się z komputerów zarażonych przez tzw. botworma o nazwie MyDoom - tak przynajmniej wynika z analiz przeprowadzonych przez specjalistów z AhnLab. Szkodnik ten znany jest już od kilku lat - po raz pierwszy pojawił się w Sieci w styczniu 2004 r. - wtedy to zdobył sławę "najszybciej rozprzestrzeniającego się robaka e-mailowego w historii Internetu". Początkowo jego działanie ograniczało się do infekowania kolejnych komputerów, przeszukiwania dysków w poszukiwaniu adresów e-mail i wysyłania swoich kopii do kolejnych osób. Ale szybko pojawiły się udoskonalone wersje MyDooma - wyposażano je m.in. w funkcje przeprowadzania ataków DDoS, a później również w możliwość łączenia zainfekowanych maszyn w botnety. To właśnie taka wersja wykorzystana została w amerykańskich i koreańskich atakach.

Pewien koreański bloger, który na własną rękę przeprowadził analizy kodu MyDooma, twierdzi, że to konkretne wydanie ma zaszytą listę 13 koreańskich i 23 amerykańskich stron, które mają być cyklicznie atakowane DDoS-ami. I faktycznie - lista opublikowana na blogu bardzo przypomina listę witryn atakowanych w ostatnich dniach...


Zobacz również