Koreański DDoS - to jeszcze nie koniec?

Z analiz przeprowadzonych przez specjalistów z południowokoreańskiej firmy AhnLab wynika, że druga fala ataków będzie nieco mniejsza i bardziej skoncetrowana - zaatakowanych zostanie prawdopodobnie znacznie mniej witryn niż wczoraj. Na pewno znajdą się wśród nich serwisy rządowe, a także strona gazety Chosun Ilbo oraz banku Kookmin.

Ustalono, że podobnie jak wczoraj będą to klasyczne ataki DDoS (distributed denial of service), polegające na zasypaniu witryn-celów ogromną liczbą odwołań, które mają spowodować przeciążenie i wyłączenie się serwerów. Przestępcy wykorzystują do tego celu sieci komputerów-zombie (tzw. botnety) - własne lub wynajęte specjalnie na tę okazję.

Środowe ataki skierowane były przeciwko najpopularniejszym koreańskim witrynom - zaatakowane zostały popularne portale, gazety, serwisy aukcyjne, strony e-banków oraz witryny instytucji rządowych i publicznych. Nieznani na razie sprawcy zaatakowali też przed kilkoma dniami strony amerykańskie - jednak tamtejsi specjaliści ds. bezpieczeństwa zdołali zminimalizować skutki tych ataków. W Korei Południowej było znacznie gorzej - tam DDoS-y spowodowały wyłączenie większości stron. Szerzej pisaliśmy o tym w tekście "USA i Korea Południowa zaatakowane w Sieci".

Do ataków na razie nikt się nie przyznaje - ale to, że celami stały się USA i Korea Południowa, sugeruje, że ich inspiratorami mogły był władze pozostającej z nimi w stałym konflikcie Korei Północnej. Specjaliści ds. bezpieczeństwa, którzy badają tę sprawę, zastrzegają jednak, że do tej pory nie natrafiono na najmniejszą poszlakę łączącą władze w Phenianie z tymi atakami.

Wiadomo już, że do ich przeprowadzenia przestępcy wykorzystali botnet składający się z komputerów zarażonych przez tzw. botworma o nazwie MyDoom - tak przynajmniej wynika z analiz przeprowadzonych przez specjalistów z AhnLab. Szkodnik ten znany jest już od kilku lat - po raz pierwszy pojawił się w Sieci w styczniu 2004 r. - wtedy to zdobył sławę "najszybciej rozprzestrzeniającego się robaka e-mailowego w historii Internetu". Początkowo jego działanie ograniczało się do infekowania kolejnych komputerów, przeszukiwania dysków w poszukiwaniu adresów e-mail i wysyłania swoich kopii do kolejnych osób. Ale szybko pojawiły się udoskonalone wersje MyDooma - wyposażano je m.in. w funkcje przeprowadzania ataków DDoS, a później również w możliwość łączenia zainfekowanych maszyn w botnety. To właśnie taka wersja wykorzystana została w amerykańskich i koreańskich atakach.

Pewien koreański bloger, który na własną rękę przeprowadził analizy kodu MyDooma, twierdzi, że to konkretne wydanie ma zaszytą listę 13 koreańskich i 23 amerykańskich stron, które mają być cyklicznie atakowane DDoS-ami. I faktycznie - lista opublikowana na blogu bardzo przypomina listę witryn atakowanych w ostatnich dniach...