НОВОСТИ ИБ

14 июля 2009

Кибератаки на США и Южную Корею могли исходить с территории Великобритании

Массированные кибернападения на сетевые ресурсы Соединенных Штатов и Южной Кореи могли координироваться серверами, расположенными в Великобритании, а не в КНДР, как предполагалось ранее.
Серия DDoS-атак на сайты правительственных и других организаций США и Южной Кореи началась 4 июля. На некоторое время перестали работать ресурсы таких американских структур, как Министерство финансов, Секретная служба, Министерство транспорта и др. Позднее злоумышленники попытались обрушить компьютерные системы нескольких южнокорейских банков, администрации президента и Министерства обороны. В атаках сразу заподозрили Северную Корею, хотя серьезных доказательств этому представлено не было.
Как теперь утверждает вьетнамская фирма Bach Khoa Internetwork Security (BKIS), специализирующаяся на сетевой безопасности, "зомбированные" компьютеры, участвовавшие в DDoS-атаках, получали управляющие команды от восьми серверов. BKIS удалось получить доступ к двум из этих серверов и отследить путь до главного узла. Оказалось, что он использует IP-адреса в диапазоне 195.90.118.x, которые зарегистрированы на британскую компанию Global Digital Broadcast.
Дальнейший анализ лог-файлов показал, что сформированный злоумышленниками ботнет насчитывал почти 170 тысяч машин в 74 странах по всему миру. Больше всего инфицированных компьютеров выявлено в Южной Корее, США, Китае, Японии, Канаде и Австралии.
Отмечается также, что киберпреступники изымали информацию о файлах, содержащихся на зараженных ПК; эти сведения затем отсылались на 416 серверов, расположенных в 59 странах. Зачем злоумышленникам понадобились такие данные, пока не совсем ясно.
Подготовлено по материалам PC World и Ассошиэйтед Пресс.