Online Attack Hits Amerikanska regeringens webbplatser

En botnet som består av cirka 50 000 infekterade datorer har skett ett krig mot amerikanska regeringens webbplatser och orsakar huvudvärk för företag i USA och Sydkorea.

Anfallet startade lördag och säkerhetsexperter har krediterat det med att knacka USA: s federala handelskommission FTC: s webbplats) offline för delar av måndag och tisdag. Flera andra offentliga webbplatser har också blivit riktade, bland annat US Department of Transportation (DOT).

"DOT har haft nätverksincidenter sedan förra helgen. Vi arbetar med US Computer Emergency Readiness Team [US-CERT] vid den här tiden ", sade en talesekreterare i tisdags.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

En talesman för Treasury-avdelningen bekräftade att statens webbplats hade blivit träffad en förnekande attack. "Vi arbetar med vår tjänsteleverantör för att mildra effekten," sade hon.

En talesman för FTC kunde inte säga vad som orsakade avbrottet på dennes webbsida.

Analysera attackerna

En mer fullständig lista över amerikanska och sydkoreanska webbplatser som är riktade mot attacken har publicerats av en koreansk bloggare som skickade en analys av botnetkoden. Enligt denna lista har Amazon och Yahoo också riktats.

US Department of Homeland Security (DHS), som kör US-CERT, sade sent på tisdag att den hade varnat federala organ och partnerorganisationer och arbetade för att mildra ge sig på. "Vi ser attacker på federala nätverk varje dag, och åtgärder på plats har minimerat inverkan på federala webbplatser", sa DHS i ett uttalande. "US-CERT fortsätter att arbeta med sina federala partner och den privata sektorn för att ta itu med den här aktiviteten."

Angreppen, medan den är kraftfull, är inte särskilt sofistikerad och verkar vara mer av en olägenhet än ett hot mot säkerheten. Det använder en rad välkända distribuerade denial of service-attacker (DDoS) som försöker överväldiga webbplatser med oanvändbara förfrågningar och gör dem otillgängliga för legitima användare, säger säkerhetsexperter. De flesta av de riktade webbplatserna i USA verkade fungera normalt på tisdag.

Anfallet hade dock en mycket större inverkan i Sydkorea, där det var en toppnyhetshistoria efter att flera framstående platser var offline onsdag, lokal tid. Sydkoreanska webbplatser slogs först på tisdag, flera dagar efter det att den amerikanska delen av attacken startade.

Webbplatsen för Sydkoreas president, Blåhuset och de för nationalförsamlingen och ministeriet för försvar var alla offline vid onsdag lunch. Också otillgänglig var det stora nationalpartiets hemsida och den nationella tidningen Chosun Ilbo

Korea Internet Security Centers säkerhetshotsindex sattes till "väsentligt", vilket ligger i mitten av sina fem nivåer och innebär regionala säkerhetsproblem för Internet. Det råder alla Internet-användare att vidta brådskande säkerhetsåtgärder.

Anfallet slog också på de elektroniska bankerna i Korea Exchange Bank, Shinhan Bank och NongHyup Bank och tog ner webbplatsen för USAs styrkor Korea.

Ovanliga aspekter

Sådana DDoS-attacker är relativt vanliga, men några saker gör veckans händelse ovanlig. Botnetkoden bakom attacken använder inte typiska antivirusundviklingsmetoder och verkar inte ha skrivits av en professionell malware författare, enligt Joe Stewart, en forskare med SecureWorks som har tittat på koden.

På lördag och söndag attacken förbrukade 20 till 40 GB per sekund bandbredd, cirka 10 gånger frekvensen av en typisk DDoS-attack, sa en säkerhetsexpert efter att ha informerats av US-CERT på tisdag. "Det är det största jag har sett", sa experten, som bad att han inte skulle identifieras eftersom han inte var behörig att diskutera saken. Vid tisdag var det i genomsnitt ca 1,2 GB per sekund, sa han.

Säkerhetsexperter uppskattar botnetets storlek vid någonstans mellan 30 000 och 60 000 datorer.

Det är också ovanligt att se relativt lågprofilerade offentliga webbplatser som slås. "Vem går runt och inriktar sig på en webbplats som FAA eller US Treasury? Det är inte något som de flesta skulle tro att attackera, säger Stewart.

FTC har tidigare gjort åtgärder mot spammare och internetbedrägerier. Förra månaden stängde en Internetleverantör som heter Pricewert, som hade associerats med botnets, spam och barnpornografi.

Culprits Still Anonymous

Ingen vet vem som står bakom attacken, även om Stewart sa att det kunde ha lanserats av en enda person. "Det verkar bara för mig att någon är arg av någon anledning hos kapitalistiska regeringar", sa han. Säkerhetsexperter säger att de flesta smittade maskinerna är belägna i Sydkorea, men det betyder inte att attacken härrörde.

Att DDoS-attacken tog ner statliga datorer är en förlägenhet för USA, som arbetar för att stärka landets säkerhetsskydd under president Barack Obama.

"Det här är väldigt grundläggande attacker och saker vi har sett under mycket lång tid. Skalan är inte heller stor, säger en säkerhetsexpert, som talade på villkor av anonymitet eftersom han inte var behörig att diskutera saken offentligt. "Det är pinsamt att dessa webbplatser har ramats i fyra eller fem dagar och de är fortfarande drabbade. Tänk på de pengar som eBay och Amazon skulle förlora om fyra till fem dagar av det här."

(Grant Gross i Washington och Nancy Gohring i Seattle bidrog till denna historia.)