USA e Korea, il DDoS proveniva dall’Inghilterra
Recentemente alcuni siti governativi e non della Korea e degli stati uniti, sono stati coinvolti in alcune ondate di attacchi DDoS.
Circa 5 giorni fa un ricercatore della BKIS, una società Vietnamita specializzata in sicurezza, ha pubblicato sul blog della società i risultati delle sue ricerche.
BKIS è membro della APCERT, la quale è stata incaricata dalla KrCERT (Korean Computer Emergency Response Team), di invesitgare su questi attacchi.
Ne è emerso che i server Koreani erano infettati da del malware gestito tramite dei codici iniettati in un file "flash.gif", e gestiti da 8 Command and Control (C&C) servers. Successivamente tutti i computer zombies, ogni 3 minuti, selezionavano randomicamente uno di questi 8 server C&C per ricevere gli ordini d’attacco.
A loro volta questi 8 C&C erano controllati da un Master Server localizzato in Inghilterra, fino ad ora l’esistenza di questo Master Server non era mai stata riportata.
I ricercatori, nell’intento di risalire alla fonte, hanno cercato di crackare a loro volta questi C&C servers riuscendo a guadagnare l’accesso in 2 degli 8 servers, da li in poi, analizzando i loro log, il lavoro è stato relativamente facile.
In questi log infatti vi era registrato l’ip del Master Server che era della classe 195.90.118.xxx localizzato per l’appunto in UK. Dopo ulteriori analisi è emerso che tale macchina è equipaggiata con Windows 2003 Server.
Riguardo gli zombies ci sono stati fino adesso pareri discordanti, la Symantec infatti aveva stimato circa 50.000 zombie, 20.000 secondo il governo Koreano. La BKIS invece, avvalendosi di tali log, afferma che la botnet conta qualcosa come 166,908 zombie distribuiti in 74 stati sparsi per il mondo.
|
No |
COUNTRY |
|
1 |
Korea, Republic of |
|
2 |
United States |
|
3 |
China |
|
4 |
Japan |
|
5 |
Canada |
|
6 |
Australia |
|
7 |
Philippines |
|
8 |
New Zealand |
|
9 |
United Kingdom |
|
10 |
Vietnam |
Classifica degli stati che contengono più pc zombies.
Adesso sta ai governi di USA e Korea decidere se cercare l’autore dell’attacco o no, la BKIS avendo localizzato il Master Server conferma l’alta possibilità di poterlo scovare, nel frattempo KrCERT e US-CERT hanno ricevuto tutti i dati relativi agli ip coinvolti nell’attacco. Di sicuro sappiamo che Korea ed Inghilterra stanno collaborando in tale ricerca.
Articoli (forse) correlati:
- Trovato malware su gnome look, rende il vostro pc un bot per attacchi DDoS
Apprendo da slashdot che un bel malware è sbarcato sul sito gnome-look.org. Il malware sarebbe celato in un pacchetto... - Con HookSafe più sicurezza contro i rootkit
Apprendo da The Register che alcuni scienziati riveleranno alla conferenza CCS 2009 un nuovo software in grado di elevare... - Sedicenti Hacker crescono
O almeno credono di esserlo (hacker).. Perchè ho la netta impressione che quello che sta tutt'ora provando a bucarmi... - Go Away Scriptkiddie!!
Piccolo suggerimento per difendersi ulteriormente dalla marea di "disturbatori della quite pubblica" che ogni giorno tentano invano di sfondare... - Il decalogo del Sysadmin
Un sistemista degno di essere definito tale non può non conoscere “colleghi” del calibro di Davide Bianchi, autore del...
