Специалистам вьетнамской компании Bkis удалось вычислить источник DDoS-атак, поразивших государственные сайты США и Южной Кореи в начале июля. Инструкции компьютерам атакующей ботсети «поставляли» сервера в Великобритании.
Ботсеть контролируется восемью серверами, к которым каждые три минуты подключаются зомби-компьютеры для получения инструкций. Специалисты Bkis сумели захватить контроль над двумя серверами и проанализировали логи.
Оказалось, что все контролирующие центры управляются мастер-сервером, находящемуся в Великобритании. Мастер-сервер имеет IP-адрес 195.90.118.xxx и работает под управлением Windows Server 2003.
Как сообщает сайт Webplanet.ru, информация о существовании мастер-сервера стала неожиданной для специалистов по кибербезопасности.
В DDoS-атаках участвовали 166908 ботов, расположенных в 74 странах, чаще всего в самих США и Южной Корее. Получается, специалисты из Symantec и южнокорейского правительства сильно ошибались в своих прикидках (50 тыс. и 20 тыс. ботов соответственно).
Вся необходимая информация была передана в KrCERT и US-CERT – южнокорейский и американский центры реагирования на компьютерные инциденты, поскольку в Bkis считают, что поимка злоумышленников – прерогатива правительств стран, пострадавших от DDoS-атак.
Поначалу официальные представители США и Южной Кореи обвинили в атаках Северную Корею. Причем не просто обвинили, а даже требовали организовать ответную кибератаку. Однако специалисты по кибербезопасности убедились в голословности этих обвинений и предположили, что DDoS-атаки всего лишь должны были привлечь внимание.
В начале июля сотрудникам ФБР удалось предотвратить «праздничную» DDoS-атаку в День Независимости, которую планировали провести американские хакеры. То есть правительству США следовало бы сначала устранить внутренних врагов, а потом уже искать внешних.
Достижением вьетнамской компании Bkis было также «раскрытие» того факта, что родиной червя Conficker является Китай, а вовсе не Россия или Европа, как предполагалось ранее.
