McAfee: Za dvěma vlnami DDoS útoků stála Severní Korea

14. 7. 2011

Sdílet

Proč útočníci použili tak pokročilé a agresivní metody pro útok, který dočasně vyřadil z provozu několik webů (k čemuž by stačil i podstatně méně sofistikovaný postup DDoS)? Možná šlo o test a zkoušku, jak dlouho bude rtvat reakce.

Letos v červenci uplynuly dva roky od incidentu, při němž byly na americký Den nezávislosti rozsáhlým distribuovaným útokem napadeny webové servery vládních a státních institucí v Jižní Korei a částečně také v USA, weby amerických vojenských sil v Jižní Korei i servery patřící ke kritické civilní infrastruktuře.

Společnost McAfee ve své studii Ten Days of Rain (Deset dní nečasu) porovnává útoky DDoS před dvěma roky s těmi, k nimž došlo letos v březnu (od 4. 3.). Výsledkem srovnání je závěr, že obě akce si jsou velmi podobné a mají stejného původce – pravděpodobně Severní Koreu nebo její sympatizanty. Cílem akcí bylo zřejmě vyzkoušet, jak je kritická jihokorejská infrastruktura připravena na podobné situace. Studie laboratoří McAfee Labs odhaduje pravděpodobnost totožného původce obou útoků na 95 %.

Studie analyzuje architekturu botnetu, pomocí něhož byl proveden březnový útok, stejně jako použitý malware. Botnet i malware byly velmi sofistikované, přičemž většina infikovaných počítačů se nacházela v Jižní Korei. Cílem útočníků byly podobné servery jako před dvěma lety, vynechány byly pouze cíle nacházející se v USA, např. web Bílého domu nebo newyorské burzy.

V porovnání s běžnými akcemi prováděnými pomocí botnetů byl už útok před 2 lety nezvykle destruktivní. Infikované počítače botnetu byly neustále aktualizovány pomocí nových malwarových kódů. Samotný DDoS útok trval něco přes týden a pak po sobě útočníci pokusili důkladně zamést stopy. Z infikovaných počítačů byly odstraněny klíčové datové soubory a přepsány nulami, a to včetně sektoru MBR (master boot record). V důsledku toho pak postižené počítače nešly vůbec spustit.

bitcoin_skoleni

Letos kybernetičtí zločinci postupovali ještě sofistikovaněji. Pro různé části svých kódů použili různé šifrovací algoritmy (např. AES, RC4 a RSA), což mělo zpomalit analýzu malwaru. Útočníci využívali asi 40 řídicích serverů (C&C, Command and Cotrol Server) rozmístěných po celém světě, např. na Tchaj-wanu, v Rusku, Indii, USA a Saudské Arábii. Různé částí kódů musela rozhodně vyvíjet celá řada lidí, třebaže spolu nutně nemuseli být ve spojení.

Dmitri Alperovitch, viceprezident pro výzkum hrozeb ve společnosti McAfee, si klade otázku, proč útočníci použili tak pokročilé a agresivní metody pro útok, který dočasně vyřadil z provozu několik webů (k čemuž by stačil i podstatně méně sofistikovaný postup DDoS). Podle závěrů společnosti McAfee byla akce namířená proti Jižní Korei a USA testem, jak rychle obě země dokáží zareagovat na kybernetický útok – který by mohl být i součástí přímého vojenského konfliktu. Cílem útočníků (šifrování, vyřazení použitých strojů z činnosti...) bylo zřejmě zabránit na co nejdelší dobu nápravným opatřením; útok byl navržen tak, aby co nejvíce zpomalil analýzu a prodloužil reakční dobu. Rovněž sebedestrukce botnetu ukazuje, že útočníci měli opravdu spíše politické než finanční cíle; v takovém případě by totiž podvodníci měli zájem využívat infikované počítače co nejdéle.