Некоторое время назад сообщалось, что Южная Корея подверглась массированной кибер-атаке, в результате которой оказались заблокированными сайты правительственных учреждений и финансовых организаций. После первой волны атаки не прекратились, более того, они расширились также и на американские ресурсы, потому агенство KrCERT (Korean Computer Emergency Response Team) обратилось к APCERT (Asia Pacific Computer Emergency Response Team) с предложением объединить усилия в анализе вредоносного ПО, которое осуществляет DDoS атаки. Об этом сообщается в блоге Bkis — участника APCERT.
В результате расследования было установлено, что, как и в случае с Conficker, данные атаки осуществляются ботнетом. Ботнет управляется восьмерыми контрольными серверам C&C (Command and Control), а само управление осуществляется при помощи вредоносного кода, внедренного в файл flash.gif. Каждые 3 минуты зараженные компьютеры подключаются к одному из серверов, который выбирается случайным образом, и получают от него задания. Также дополнительно был обнаружен главный сервер, контролирующий работу остальных восьми серверов, о котором ранее не упоминалось, он расположен на территории Великобритании.
С целью определения главного сервера, совместными усилиями указанных агентств была организована ответная атака на контрольные сервера C&C, в результате чего удалось захватить контроль над двумя из них. После анализа логов захваченных серверов был выделен IP адрес 195.90.118.xxx главного сервера, который располагается в Великобритании и использует операционную систему Windows 2003 Server.
В дни осуществления хакерской атаки на сайты было зафиксировано около 50 тыс. зараженных компьютеров (по данным компании Symantec, правительство Кореи называло цифру 20 тыс.), однако после анализа логов захваченных серверов было установлено, что фактически ботнет осуществлял контроль над 166908 компьютерами из 74 стран. Больше всего зараженных машин оказалось на территории Южной Кореи, США, Китая, Японии, Канады, Австралии, Филиппин, Новой Зеландии, Великобритании и Вьетнама.
После выявления источника угрозы с высокой долей вероятности можно надеяться на поимку злоумышленников. KrCERT и US-CERT уже получили все необходимые данные о главном сервере хакеров.