Ataques en los sitios web de EE. UU. Y Corea Dejar un sendero sinuoso

La investigación de los ataques contra sitios web de alto perfil en Corea del Sur y EE. UU. es una siniestra y electrónica búsqueda de ganso que puede no dar lugar a una conclusión definitiva sobre la identidad de los atacantes.

Los expertos en seguridad informática no están de acuerdo con el nivel de habilidad de los ataques DDOS (denegación de servicio distribuida), que a principios de julio causaron problemas para algunos de los sitios web, incluidos Bancos de Corea del Sur, agencias del gobierno de EE. UU. Y medios de comunicación.

El ataque DDOS fue ejecutado por una botnet, o un grupo de computadoras infectadas con software malicioso controlado por un hacker. Ese programa malicioso fue programado para atacar los sitios web al bombardearlos con solicitudes de páginas que exceden el tráfico normal de visitantes. Como resultado, algunos de los sitios más débiles se doblaron.

[Más información: cómo eliminar el malware de su PC con Windows]

Si bien hay cientos de ataques DDOS que ocurren todos los días, el del mes pasado tiene características interesantes. Primero, se llevó a cabo utilizando una botnet de hasta aproximadamente 180,000 computadoras que se encontraba casi en su totalidad dentro de Corea del Sur.

"Es muy raro ver una botnet de ese tamaño tan localizada", dijo Steven Adair de The Shadowserver Foundation, un grupo de vigilancia del cibercrimen. "Las botnets de gran tamaño generalmente tardan en acumularse y los atacantes hacen mucho esfuerzo".

Y las preguntas básicas parecen no tener respuesta, como por ejemplo cómo los atacantes pudieron infectar una cantidad tan grande de computadoras en Corea del Sur con el código específico que requisó las computadoras para atacar una lista de sitios web.

La investigación tiene ramificaciones geopolíticas. Según los informes, el Servicio de Inteligencia Nacional de Corea del Sur dijo a los legisladores del país a principios del mes pasado que sospechaba que Corea del Norte estaba involucrada. A pesar de que no hay pruebas públicas definitivas que vinculen a Corea del Norte con los ataques DDoS, la conducta dura del país lo convierte en un actor conveniente a quien culpar dado sus espinosas relaciones con los EE. UU. Y Corea del Sur.

La botnet, que ahora está inactiva, parece ser personalizada -construido para los ataques. Muchas veces, las personas que quieren desconectar un sitio web alquilan tiempo en una red de bots desde su controlador, conocido como un pastor de botnets, pagando una pequeña tarifa por máquina, por ejemplo, $ 20. Las botnets también se pueden usar para actividades de Internet, como el envío de spam.

Los analistas saben que las computadoras que componen el botnet se han infectado con una variación de MyDoom, una pieza de software malicioso que se envía repetidamente a otras computadoras una vez que ha infectado una PC. MyDoom debutó con devastadoras consecuencias en 2004, convirtiéndose en el gusano de correo electrónico de propagación más rápido de la historia. Ahora se limpia rutinariamente de las PC que ejecutan software antivirus, aunque muchas computadoras no tienen instalado dicho software de protección.

El código de MyDoom se ha llamado amateur, pero no obstante fue efectivo. La estructura de comando y control para entregar instrucciones a las computadoras infectadas con MyDoom usaba ocho servidores principales dispersos por todo el mundo. Pero también había un grupo laberíntico de servidores subordinados de comando y control que hacían más difícil el rastreo.

"Es difícil encontrar al verdadero atacante", dijo Sang-keun Jang, analista de virus e ingeniero de seguridad con la seguridad La empresa Hauri, con sede en Seúl.

Las direcciones IP (Protocolo de Internet), que a lo sumo pueden identificar aproximadamente dónde está conectada una computadora en una red pero no su ubicación precisa o quién está operando la computadora, solo dan a los investigadores mucha información para continuar. Las zonas Wi-Fi abiertas pueden permitir que un atacante cambie las direcciones IP con frecuencia, dijo Scott Borg, director y economista jefe de la Unidad de Consecuencias Cibernéticas de EE. UU., Un instituto de investigación sin fines de lucro.

"Los ataques anónimos serán un hecho de la vida", dijo Borg. "Eso tiene grandes implicaciones políticas. Si no se puede atribuir rápidamente y con confianza, entonces la mayoría de las estrategias basadas en la disuasión ya no son viables. Hay una gran revolución que ya está en marcha y debe llevarse a cabo en nuestro pensamiento defensivo".

Para Corea del Sur-EE. UU. Los ataques DDOS, una compañía de seguridad está tomando el enfoque de seguir el dinero. Muchos ataques DDOS son en realidad transacciones pagas, y donde hay dinero, hay algún rastro.

"Buscar direcciones IP no es realmente útil", dijo Max Becker, CTO de Ultrascan Knowledge Process Outsourcing, una subsidiaria de la firma de investigación de fraude. Ultrascan. "Lo que intentamos hacer es perseguir a las personas que establecen y pagan este tipo de ataques".

Ultrascan tiene una red de informantes que están cerrados a las bandas de delincuencia organizada en Asia, muchas de las cuales están involucradas en el delito cibernético., dijo Frank Engelsman, investigador de Ultrascan con sede en los Países Bajos. Una pregunta es si se podría probar que Corea del Norte pagó un grupo criminal para llevar a cabo los ataques, dijo Engelsman.

Eso podría llevar mucho trabajo de investigación. Pero puede ser más fácil que eso.

Los ciberdelincuentes cometen errores, como a principios de año cuando los investigadores descubrieron una red mundial de espionaje llamada "GhostNet" que infectaba computadoras pertenecientes a organizaciones no gubernamentales tibetanas, la oficina privada del Dalai Lama y embajadas de más de una docena de países. Una búsqueda en Google del investigador Nart Villeneuve arrojó algunas de las pruebas más contundentes: un servidor descifrado indexado por el motor de búsqueda.

Desde errores ortográficos, direcciones de correo electrónico hasta errores de codificación, los atacantes pueden dejar pistas que podrían convertir un "Sabía dónde se pueden cometer los errores", dijo Steve Santorelli, director de alcance global de Team Cymru, una firma de investigación de seguridad de Internet sin fines de lucro. "Puedes voltear las rocas correctas rápidamente".

Y Santorelli agregó: "Google no olvida nada".