Attacker på USA, Korea-webbplatser Lämna en lindningsväg

Datorsäkerhetsexperter är inte överens om kompetensnivån för DDOS-angreppen (distributed denial-of-service), som under några dagar i början av juli orsakade problem för några av de riktade webbplatserna, inklusive Sydkoreanska banker, amerikanska myndigheter och medier.

DDOS-attacken utfördes av en botnet eller en grupp datorer infekterade med skadlig programvara styrd av en hackare. Den skadliga programvaran programmerades för att attackera webbsidorna genom att bombardera dem med sidförfrågningar som överträffar normalt besökstrafik. Som en följd drogs några av de svagare platserna.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Medan hundratals DDOS-attacker uppstår varje dag har den från förra månaden intressanta egenskaper. Först genomfördes det med en botn av upp till uppskattningsvis 180 000 datorer som var nästan helt belägna i Sydkorea.

"Det är väldigt sällsynt att se en botnet av den storleken så lokaliserad", säger Steven Adair från The Shadowserver Foundation, en cybercrime watchdog grupp. "Stora botnät brukar ta tid att bygga upp och mycket ansträngning från angripare."

Och grundläggande frågor förefaller vara obesvarade, till exempel hur attackerna kunde infektera ett så stort antal datorer i Sydkorea med den specifika koden som commandeered datorerna för att attackera en lista över webbplatser.

Undersökningen har geopolitiska konsekvenser. Sydkoreas National Intelligence Service berättade förra året landets lagstiftare tidigt förra månaden att det misstänktes att Nordkorea var inblandat. Trots att det inte finns något slutgiltigt offentligt bevis som förbinder Nordkorea med DDOS-attackerna, gör landets hårda upplevelse det till en lämplig skådespelare att skylla med tanke på dess strikta förbindelser med USA och Sydkorea.

Botnetet, som nu är inaktivt, tycktes vara anpassat -byggd för attackerna. Många gånger människor som vill slå en webbplats offline kommer att hyra tid på en botnet från sin controller, känd som en botnet herder, betala en liten avgift per maskin, till exempel US $.20. Botnets kan också användas för Internetaktivitet, till exempel skicka spam.

Analytiker vet att datorerna som innehöll botnetet hade infekterats med en variation av MyDoom, en del skadlig programvara som upprepade gånger skickar ut sig till andra datorer en gång det har infekterat en dator. MyDoom debuterade med förödande konsekvenser 2004 och blev den snabbast spridda e-postmasken i historien. Det rensas nu rutinmässigt från datorer som kör antivirusprogram, men många datorer har inte någon sådan skyddande programvara installerad.

MyDoom-koden har kallats amatörisk, men den var ändå effektiv. Kommandot och kontrollstrukturen för leverans av instruktioner till datorer infekterade med MyDoom använde åtta huvudservrar som var utspridda runt om i världen. Men det fanns också en labyrintisk grupp av underordnade kommando- och kontrollservrar som gjorde det svårare att spåra.

"Det är svårt att hitta den riktiga angriparen", säger Sang-keun Jang, en virusanalytiker och säkerhetsingenjör med säkerheten Företaget Hauri, baserat i Seoul.

IP (Internet Protocol) adresser - som högst kan identifiera var en dator är ansluten till ett nätverk men inte den exakta platsen eller vem som driver datorn - bara ge utredare så mycket information att gå på. Open Wi-Fi-hotspots kan göra det möjligt för en angripare att byta IP-adresser ofta, säger Scott Borg, chef och chefsekonom för US Cyber ​​Consequences Unit, ett ideellt forskningsinstitut.

"Anonyma attacker kommer att bli ett faktum i livet," sade Borg. "Det har stora politiska konsekvenser. Om du inte kan attributa snabbt och med självförtroende, är de flesta strategier som är baserade på avskräckning inte längre lönsamma. Det finns en stor revolution som redan är igång och måste genomföras i vårt försvarstänkande."

För Sydkorea-USA DDOS-attacker, ett säkerhetsföretag tar tillvägagångssättet att följa pengarna. Många DDOS-attacker är faktiskt betalade transaktioner, och där det finns pengar finns det något spår.

"Att gå efter IP-adresser är inte särskilt bra", säger Max Becker, CTO för Ultrascan Knowledge Process Outsourcing, ett dotterbolag till bedrägeribekämpningsföretag Ultrascan. "Vad vi försöker göra är att gå efter de människor som sätter upp och betalar för sådana attacker."

Ultrascan har ett nätverk av informanter som är stängda för organiserade brottsliga banden i Asien, varav många är involverade i cyberkriminalitet, sade Frank Engelsman, en utredare med Ultrascan baserat i Nederländerna. En fråga är om det skulle kunna bevisas att en kriminell grupp hade betalats av Nordkorea för att utföra attackerna, sade Engelsman. Det skulle kunna ta mycket undersökningsarbete. Men det kan bli lättare än det.

Cyberkriminella gör misstag, till exempel tidigare i år när forskare upptäckte ett globalt spionprogram som kallas "GhostNet" som infekterade datorer som tillhör tibetanska icke-statliga organisationer, Dalai Lamas privata kontor och ambassader av mer än ett dussin länder. En Google-sökning av forskare Nart Villeneuve visade upp några av de mest skadliga bevisen - en okrypterad server indexerad av sökmotorn.

Från stavfel, till e-postadresser till kodfel kan angripare lämna ledtrådar som kan vända sig Cold Trail Hot. "

" "Du vet var misstagen sannolikt kommer att göras", säger Steve Santorelli, chef för global outreach för Team Cymru, ett ideellt internetsäkerhetsforskningsföretag. "Du kan snabbt vända de rätta klipporna."

Och Santorelli lade till: "Google glömmer ingenting."