Специалисты вьетнамской компании Bkis вычислили источник DDoS-атак, которым 4
июля подверглись ряд государственных сайтов США и Южной Кореи. Как оказалось,
компьютеры атакующей ботсети получали инструкции из Великобритании, сообщается в
блоге компании.
Ботнет контролируется с помощью 8 серверов: каждые три минуты
зомби-компьютеры случайным образом выбирают один из этих серверов для получения
инструкций. Сотрудникам Bkis удалось каким-то образом захватить контроль над
двумя из этих серверов (подробности захвата не уточняются) и проанализировать
логи.
Выяснилось, что все контролирующие центры в свою очередь управляются
мастер-сервером, который, судя по IP-адресу 195.90.118.xxx, находится в
Великобритании. Мастер-сервер работает под управлением Windows Server 2003.
Как утверждают в Bkis, ранее о существовании мастер-сервера специалистам по
кибербезопасности известно не было.
Также удалось точно подсчитать количество ботов, участвовавших в DDoS-атаках.
Таких компьютеров оказалось ровно 166908 штук, и расположены они в 74 странах,
преимущественно в самих Южной Корее и США. Эти результаты кардинально разнятся с
прикидками компании Symantec (здесь размеры ботнета оценили в 50 тысяч) и
южнокорейского правительства (20 тысяч).
Вьетнамские специалисты передали всю необходимую информацию в южнокорейский и
американский центры реагирования на компьютерные инциденты KrCERT и US-CERT.
Здесь уверены, что имеющихся данных достаточно для поимки злоумышленников,
которые стоят за атаками, однако этим должны заниматься правительства
пострадавших стран.
Ранее официальные представители США и Южной Кореи успели обвинить в атаках
Северную Корею. Один конгрессмен-республиканец даже потребовал от правительства
Обамы "продемонстрировать силу", организовав против Северной Кореи свою
кибератаку. Эксперты по кибербезопасности, однако, не нашли никакого
севернокорейского следа и уверены, что целью DDoS-атак было всего лишь
привлечение внимания.
