การสืบสวนเกี่ยวกับ Cyberattacks ที่ยืดเยื้อไปทั่วโลก

เจ้าหน้าที่ตำรวจอังกฤษได้เปิดตัวการสืบสวนเกี่ยวกับการโจมตีทางไซเบอร์ล่าสุดซึ่งทำให้เว็บไซต์ในสหรัฐและเกาหลีใต้เป็นช่องทางในการค้นหาผู้กระทำความผิดทั่วโลก

เมื่อวันอังคารที่ผ่านมาผู้ดูแลระบบความปลอดภัยของอินเทอร์เน็ตของBách Khoa (Bikis)) กล่าวว่าได้ระบุเซิร์ฟเวอร์คำสั่งและควบคุมหลักที่ใช้ในการประสานงานการโจมตีแบบปฏิเสธการให้บริการซึ่งทำให้เว็บไซต์ของรัฐบาลสหรัฐฯและเกาหลีใต้ใหญ่ขึ้น

มีการใช้เซิร์ฟเวอร์คำสั่งและการควบคุมเพื่อแจกจ่าย คำแนะนำสำหรับเครื่องพีซีแบบ zombie ซึ่งสร้างบ็อตเน็ตที่สามารถใช้ในการโจมตีเว็บไซต์ที่มีการเข้าชมทำให้ไม่สามารถใช้งานไซต์ได้ เซิร์ฟเวอร์ดังกล่าวอยู่ในที่อยู่ IP (Internet Protocol) ที่ใช้โดย Global Digital Broadcast ซึ่งเป็น บริษัท เทคโนโลยี IP TV ซึ่งตั้งอยู่ในเมือง Brighton ประเทศอังกฤษตามที่ Bkis กล่าว

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

เซิร์ฟเวอร์หลักที่แจกจ่ายคำสั่งไปยังเซิร์ฟเวอร์คำสั่งและควบคุมอีกแปดเครื่องที่ใช้ในการโจมตี Bkis ซึ่งสามารถควบคุมเซิร์ฟเวอร์สองในแปดเซิร์ฟเวอร์ได้กล่าวว่ามีการโจมตี 166,908 คอมพิวเตอร์ใน 74 ประเทศและได้รับคำสั่งให้รับคำแนะนำใหม่ทุกๆ 3 นาที

แต่เซิร์ฟเวอร์หลักไม่ได้อยู่ใน สหราชอาณาจักร ตามที่ Tim Wray ซึ่งเป็นหนึ่งในเจ้าของ Digital Global Broadcast ซึ่งพูดคุยกับ IDG News Service ในเย็นวันอังคารเวลาลอนดอน

เซิร์ฟเวอร์เป็นของ Digital Latin America (DLA) ซึ่งเป็นหนึ่งใน Digital พันธมิตรของ Broadcast ทั่วโลก DLA เข้ารหัสโปรแกรมละตินอเมริกาสำหรับการแจกจ่ายผ่านอุปกรณ์ที่เข้ากันได้กับ IP TV เช่น set-top box

โปรแกรมใหม่จะถูกนำมาจากดาวเทียมและเข้ารหัสเป็นรูปแบบที่เหมาะสมจากนั้นจะส่งผ่าน VPN (Virtual Private Network) ไปยังสหราชอาณาจักร, ที่ Digital Global Broadcast แจกจ่ายเนื้อหา Wray กล่าว การเชื่อมต่อ VPN ทำให้เซิร์ฟเวอร์หลักเป็นของ Digital Global Broadcast เมื่ออยู่ในศูนย์ข้อมูลของไมอามีของ DLA

วิศวกรจาก Digital Global Broadcast ได้ลดการโจมตีลงอย่างรวดเร็วโดยมีสาเหตุมาจากรัฐบาลเกาหลีเหนือซึ่งเจ้าหน้าที่ของเกาหลีใต้แนะนำ อาจมีความรับผิดชอบ

Digital Global Broadcast ได้รับแจ้งจากผู้ให้บริการโฮสติ้ง C4L ซึ่งเป็นผู้ให้บริการพื้นที่ดังกล่าว Wray กล่าว บริษัท ของเขาได้รับการติดต่อจากหน่วยงานอาชญากรรมร้ายแรงของสหประชาชาติ (SOCA) เจ้าหน้าที่ของ SOCA กล่าวว่าเธอไม่สามารถยืนยันหรือปฏิเสธการสอบสวนได้ เจ้าหน้าที่ของ DLA ไม่สามารถเข้าถึงได้ทันที

นักวิจัยจะต้องยึดเซิร์ฟเวอร์ต้นแบบดังกล่าวเพื่อการวิเคราะห์ทางกฎหมาย บ่อยครั้งที่การแข่งขันกับแฮกเกอร์เนื่องจากเซิร์ฟเวอร์ยังคงอยู่ภายใต้การควบคุมของพวกเขาข้อมูลสำคัญอาจถูกลบซึ่งจะช่วยในการตรวจสอบได้

"เป็นกระบวนการที่น่าเบื่อและคุณต้องการทำสิ่งนั้นให้เร็วที่สุด" Jose Nazario ผู้จัดการฝ่ายวิจัยด้านความปลอดภัยของ Arbor Networks

ข้อมูลต่างๆเช่นไฟล์บันทึกเส้นทางการตรวจสอบและไฟล์ที่อัพโหลดจะถูกค้นหาโดยนักวิจัย Nazario กล่าว "ศักดิ์สิทธิ์ที่คุณกำลังมองหาคือชิ้นส่วนของนิติวิทยาศาสตร์ที่เปิดเผยว่าผู้บุกรุกเชื่อมต่อจากที่ไหนและเมื่อใด" เขากล่าว

เพื่อดำเนินการโจมตีแฮกเกอร์ได้แก้ไขมัลแวร์เก่า ๆ ที่เรียกว่า MyDoom ซึ่งปรากฏตัวครั้งแรกใน มกราคม 2004 MyDoom มีลักษณะของหนอนอีเมลและสามารถดาวน์โหลดมัลแวร์อื่น ๆ ไปยังเครื่องพีซีและมีการตั้งโปรแกรมเพื่อทำการโจมตีแบบปฏิเสธการให้บริการสำหรับเว็บไซต์

การวิเคราะห์ตัวแปร MyDoom ที่ใช้ในการโจมตีไม่ใช่ว่า ประทับใจ "ฉันยังคงคิดว่าโค้ดนี้ค่อนข้างเลอะเทอะซึ่งหวังว่าจะทำให้พวกเขา [แฮกเกอร์] ทิ้งร่องรอยที่ดี" Nazario กล่าว "