La investigación sobre ataques cibernéticos se extiende por todo el mundo

Las autoridades británicas han iniciado una investigación sobre los recientes ataques cibernéticos que paralizaron los sitios web en los EE. UU. Y Corea del Sur, mientras el camino para encontrar a los perpetradores se extiende por todo el mundo. El martes, el proveedor de seguridad vietnamita Bach Khoa Internetwork Security (Bkis) dijo que había identificado un servidor maestro de comando y control utilizado para coordinar los ataques de denegación de servicio, que derribaron los principales sitios web del gobierno de los EE. UU. y de Corea del Sur.

Se usa un servidor de comando y control para distribuir instrucciones para zombie PCs, que forman una botnet que puede usarse para bombardear sitios web con tráfico, haciendo que los sitios sean inútiles. El servidor tenía una dirección IP (Protocolo de Internet) utilizada por Global Digital Broadcast, una compañía de tecnología de televisión IP con sede en Brighton, Inglaterra, según Bkis.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Ese servidor maestro distribuyó instrucciones a otros ocho servidores de comando y control utilizados en los ataques. Bkis, que logró hacerse con el control de dos de los ocho servidores, dijo que 166,908 computadoras pirateadas en 74 países fueron usadas en los ataques y fueron programadas para recibir nuevas instrucciones cada tres minutos.

Pero el servidor maestro no está en el REINO UNIDO; está en Miami, según Tim Wray, uno de los propietarios de Digital Global Broadcast, que habló con IDG News Service el martes por la tarde, hora de Londres.

El servidor pertenece a Digital Latin America (DLA), que es una de las plataformas digitales Socios de Global Broadcast. DLA codifica la programación de América Latina para su distribución a través de dispositivos compatibles con TV IP, como decodificadores.

Los nuevos programas se toman de satélite y se codifican en el formato adecuado, y luego se envían a través de VPN (red privada virtual) al Reino Unido. donde Digital Global Broadcast distribuye el contenido, dijo Wray. La conexión VPN hizo parecer que el servidor principal pertenecía a Digital Global Broadcast cuando en realidad está en el centro de datos de DLA en Miami.

Los ingenieros de Digital Global Broadcast descontaron rápidamente que los ataques se originaron con el gobierno norcoreano, que las autoridades surcoreanas sugirieron puede ser responsable.

Digital Broadcast Global fue notificado de un problema por su proveedor de alojamiento web, C4L, dijo Wray. Su compañía también ha sido contactada por la Agencia de Delitos Organizados Graves del Reino Unido (SOCA). Un funcionario de SOCA dijo que no podía confirmar o negar una investigación. Los funcionarios de DLA no pudieron ser contactados de inmediato.

Los investigadores necesitarán aprovechar ese servidor maestro para el análisis forense. A menudo es una carrera contra los piratas informáticos, ya que si el servidor aún está bajo su control, podrían borrarse datos críticos que podrían ayudar a una investigación.

"Es un proceso tedioso y quieres hacerlo lo más rápido posible", dijo José Nazario, gerente de investigación de seguridad para Arbor Networks.

Los investigadores buscarán datos tales como archivos de registro, pistas de auditoría y archivos cargados, dijo Nazario. "El Santo Grial que estás buscando son piezas de análisis forense que revelan de dónde se conectó el atacante y cuándo", dijo.

Para llevar a cabo los ataques, los piratas informáticos modificaron un malware relativamente antiguo llamado MyDoom, que apareció por primera vez en Enero de 2004. MyDoom tiene características de gusanos de correo electrónico y también puede descargar otro malware a una PC y programarse para realizar ataques de denegación de servicio contra sitios web.

El análisis de la variante de MyDoom utilizada en los ataques no es eso impresionante. "Todavía creo que el código es bastante descuidado, lo que espero significa que ellos [los hackers] dejan un buen rastro de evidencia", dijo Nazario.