Undersökning till cyberattacker sträcker sig runt om i världen

De brittiska myndigheterna har lanserat en undersökning av de senaste cyberattackerna som försvagade webbplatser i USA och Sydkorea, eftersom spåret för att hitta förövarna sträcker sig över hela världen.

Den vietnamesiska säkerhetsleverantören Bach Khoa Internetwork Security (Bkis)) sa att den hade identifierat en befälhavare-kommandoserver som användes för att samordna angrepp mot beteende, som tog ner stora amerikanska och sydkoreanska regeringens webbplatser.

En kommando- och kontrollserver används för att distribuera instruktioner till zombie-datorer, som bildar en botnet som kan användas för att bombardera webbplatser med trafik, vilket gör webbplatserna värdelösa. Servern var på en IP-adress (Internet Protocol) som används av Global Digital Broadcast, ett IP-tv-teknikföretag baserat i Brighton, England, enligt Bkis.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Den här masterserveren distribuerade instruktioner till åtta andra kommando- och kontrollservrar som användes i attackerna. Bkis, som lyckades få kontroll över två av de åtta servrarna, sa att 166 908 hackade datorer i 74 länder användes i attackerna och programmerades för att få nya instruktioner var tredje minut.

Men masterservern befinner sig inte i STORBRITANNIEN; Det är i Miami, enligt Tim Wray, en av ägarna till Digital Global Broadcast, som pratade med IDG News Service på tisdag kväll, London-tid.

Servern hör till Digital Latin America (DLA), som är en av Digital Global Broadcasts partners. DLA kodar latinamerikansk programmering för distribution över IP-TV-kompatibla enheter, till exempel set-top-boxar.

Nya program tas från satellit och kodas till rätt format och skickas sedan över VPN (Virtual Private Network) till Storbritannien, där Digital Global Broadcast distribuerar innehållet, sade Wray. VPN-anslutningen gjorde att den verkade som huvudservern tillhörde Digital Global Broadcast när den faktiskt finns i DLA: s datacentral i Miami.

Ingenjörer från Digital Global Broadcast diskonterade snabbt att attackerna kom från den nordkoreanska regeringen, vilka sydkoreanska myndigheter har föreslagit kan vara ansvarig.

Digital Global Broadcast fick ett meddelande om ett problem av sin webbhotell, C4L, säger Wray. Hans företag har också kontaktats av U.K. Serious Organized Crime Agency (SOCA). En SOCA-tjänsteman sa att hon inte kunde bekräfta eller neka en undersökning. DLA-tjänstemän kunde inte nås omedelbart.

Utredare måste gripa den masterserver för rättsmedicinsk analys. Det är ofta en tävling mot hackarna, eftersom om servern fortfarande står under deras kontroll, kan viktiga data raderas som skulle hjälpa en undersökning. "Det är en tråkig process och du vill göra det så fort som möjligt" Jose Nazario, chef för säkerhetsforskning för Arbor Networks.

Data som loggfiler, revisionsspår och uppladdade filer kommer att sökas av utredare, sade Nazario. "Den heliga graalen du letar efter är bitar av rättsmedicin som avslöjar var attackeren kopplade ifrån och när", sade han.

För att utföra attackerna modifierade hackarna en relativt gammal malware som heter MyDoom, som först uppträdde i Januari 2004. MyDoom har e-postmaskegenskaper och kan också ladda ner annan skadlig kod till en dator och programmeras för att utföra deial-of-service-attacker mot webbplatser.

Analys av MyDoom-varianten som används i attackerna är inte det imponerande. "Jag tycker fortfarande att koden är ganska slarvig, vilket jag hoppas innebär att de [hackarna] lämnar ett bra bevisspår", sade Nazario.