При анализе технологии июльской атаки на сайты госструктур и коммерческих организаций США специалистами по IT-безопасности выявлены некоторые подробности. Они заставляют усомниться в причастности к организации атаки Северной Кореи.
Специалисты по кибербезопасности анализируют технологию атаки на сайты госструктур и крупных компаний США и Южной Кореи. Эта атака началась 4 июля с распространения почтовой троянской программы.
При анализе кода этой программы и характера проведенной DDOS-атаки выявлены некоторые факторы, позволяющие усомниться в причастности Северной Кореи к этой операции.
Характер вредоносного кода
Директор по разработке почтовых приложений SecureWorks Джо Стюарт утверждает, что большая часть кода MyDoom переписана заново. В коде действительно встречаются конструкции, характерные для корейских программистов, но Стюарт говорит: «…Любой программист мог вставить в код эти характерные фрагменты, чтобы сбить вас со следа».
Специалисты также отмечают, что червь был модифицирован с использованием высококлассной культуры программирования, это возможно только при условии, что авторы программы обладают большим опытом коммерческого программирования.
Объекты для нападения
Самым странным в этой атаке является список сайтов -- объектов для нападения. Червь начал распространяться в сетях США 4 июля. На следующий день началась атака, но ее объектом стали только пять правительственных сайтов. 6 июля список включал в себя уже 21 сайт, в него входили и ресурсы коммерческих организаций. 7 июля список был вновь расширен до 26 сайтов, включая южнокорейские адреса.
Такое построение списка для атаки ботнетом делает нападение неэффективным, ведь уже в первый день специалистами разрабатываются и принимаются меры по защите сетей. Как правило, при проведении DDOS-атаки после скрытого периода распространения червя проводится массовая организация запросов на выбранные адреса, и именно первые часы акции приносят наибольший эффект.
Странен также список сайтов, выбранных в качестве жертв. Из сайтов США наиболее значимыми являются ресурсы Американского казначейства, Белого дома, Федеральной торговой комиссии и Washington Post. Даже те сайты, которые подверглись нападению, оказались готовыми к атаке и отбили ее достаточно уверенно, если не считать некоторые перебои с доступом пользователей.
Цель атаки
Мотивы лиц, организовавших атаку, остаются неясными. Цели дискредитации имиджа государственных структур США не соответствует список объектов для нападения. А попыток украсть данные с атакованных сайтов даже не предпринималось.
Джо Стюарт утверждает, что большинство DDOS-ботнетов пишется ради получения денег, а в данном случае ни о какой прибыли речи не идет. Специалист считает, что целью являлась просто демонстрация нападения.
Рик Говард, директор iDefense Security, выражается яснее: «Тайминг атаки очень подозрителен. Список объектов нападения настолько уникален, что мы не нашли никакой связи между сайтами-жертвами и не установили мотивов нападения. Поскольку администрация Обамы пытается провести в жизнь новую политику кибербезопасности, этот случай наверняка будет использован в качестве аргумента в спорах с оппонентами. У меня вопрос – кто извлек больше всего выгоды в результате этой атаки?»
После атаки. Победители и проигравшие
Президент США Барак Обама действительно активно взялся за проведение в жизнь новой политики кибербезопасности. Программа предполагает как структурные изменения в спецслужбах, так и специальное финансирование.
Интересно, что целью программы Обамы является защита в первую очередь от китайских и российских хакеров. Последняя DDOS-атака прибавила аргументов сторонникам программы.
Нет не только доказательств причастности Северной Кореи к последней атаке неизвестных хакеров, но и есть большие сомнения специалистов по безопасности относительно участия Пхеньяна в этой акции. Но информация о координации атаки с территории Северной Кореи уже распространена Associated Press со ссылкой на источники в структурах безопасности США.