Serangan di AS, Situs Web Korea Meninggalkan Jejak Berliku

Investigasi terhadap serangan terhadap situs web profil tinggi di Korea Selatan dan AS adalah pengejaran angsa elektronik yang berliku dan berkelok-kelok yang mungkin tidak menghasilkan kesimpulan pasti tentang identitas

Pakar keamanan komputer tidak setuju atas tingkat keterampilan serangan DDOS (distributed denial-of-service), yang selama beberapa hari di awal Juli menyebabkan masalah untuk beberapa situs Web yang ditargetkan, termasuk Bank Korea Selatan, lembaga pemerintah AS dan outlet media.

Serangan DDOS dieksekusi oleh botnet, atau sekelompok komputer yang terinfeksi perangkat lunak berbahaya yang dikendalikan oleh peretas. Malware itu diprogram untuk menyerang situs Web dengan membombardirnya dengan permintaan halaman yang jauh melebihi lalu lintas pengunjung normal. Akibatnya, beberapa situs yang lebih lemah tertekuk.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Meskipun ada ratusan serangan DDOS yang terjadi setiap hari, yang satu dari bulan lalu memiliki karakteristik yang menarik. Pertama, itu dilakukan dengan menggunakan botnet hingga sekitar 180.000 komputer yang hampir seluruhnya berada di Korea Selatan.

"Sangat jarang melihat botnet sebesar itu begitu terlokalisir," kata Steven Adair dari The Shadowserver Foundation., kelompok pengawas kejahatan dunia maya. "Botnet berukuran besar biasanya membutuhkan waktu untuk membangun dan banyak usaha dari penyerang."

Dan pertanyaan dasar tampaknya tidak terjawab, seperti bagaimana penyerang dapat menginfeksi sejumlah besar komputer di Korea Selatan dengan kode spesifik yang menyita komputer untuk menyerang daftar situs Web.

Investigasi memiliki konsekuensi geopolitik. Dinas Intelijen Nasional Korea Selatan dilaporkan mengatakan kepada anggota parlemen negara itu awal bulan lalu bahwa mereka mencurigai Korea Utara terlibat. Meskipun tidak ada bukti publik yang pasti yang mengaitkan Korea Utara dengan serangan DDOS, sikap keras negara itu membuatnya menjadi aktor yang nyaman untuk disalahkan mengingat hubungan berduri dengan AS dan Korea Selatan.

Botnet, yang sekarang tidak aktif, tampaknya menjadi kebiasaan. -Bangun untuk serangan. Banyak kali orang yang ingin mengetuk situs Web offline akan menyewakan waktu pada botnet dari pengontrolnya, yang dikenal sebagai penggembala botnet, membayar biaya yang kecil per mesin, seperti US $ 0,20. Botnets juga dapat digunakan untuk aktivitas Internet, seperti mengirim spam.

Analis tahu bahwa komputer yang terdiri dari botnet telah terinfeksi dengan variasi MyDoom, perangkat lunak berbahaya yang berulang kali mengirim email ke komputer lain setelah itu telah menginfeksi PC. MyDoom memulai debutnya dengan konsekuensi yang menghancurkan pada tahun 2004, menjadi worm e-mail penyebaran tercepat dalam sejarah. Sekarang secara rutin dibersihkan dari PC yang menjalankan perangkat lunak antivirus, meskipun banyak komputer tidak memiliki perangkat lunak pelindung yang diinstal.

Kode MyDoom telah disebut amatir, tetapi tetap efektif. Struktur perintah dan kontrol untuk mengirimkan instruksi ke komputer yang terinfeksi MyDoom menggunakan delapan server utama yang tersebar di seluruh dunia. Tapi ada juga kelompok perintah dan kontrol server bawahan bawahan yang membuatnya lebih sulit dilacak.

"Sulit menemukan penyerang yang sebenarnya," kata Sang-keun Jang, seorang analis virus dan insinyur keamanan dengan keamanan perusahaan Hauri, yang berbasis di Seoul.

Alamat IP (Internet Protocol) - yang paling banyak dapat mengidentifikasi kira-kira di mana komputer dicolokkan di jaringan tetapi tidak lokasi tepatnya atau yang mengoperasikan komputer - hanya memberi penyidik ​​sehingga banyak informasi untuk dilanjutkan. Buka hotspot Wi-Fi dapat memungkinkan penyerang untuk sering mengubah alamat IP, kata Scott Borg, direktur dan kepala ekonom Unit Konservasi Satuan AS, sebuah lembaga penelitian nirlaba.

"Serangan anonim akan menjadi fakta kehidupan," kata Borg. "Itu memiliki implikasi kebijakan besar. Jika Anda tidak dapat mengaitkan dengan cepat dan dengan keyakinan, maka sebagian besar strategi yang didasarkan pada deterrence tidak lagi layak. Ada revolusi besar yang sudah berjalan dan perlu dilakukan dalam pemikiran pertahanan kita."

Untuk Korea Selatan-AS DDOS serangan, satu perusahaan keamanan mengambil pendekatan mengikuti uang. Banyak serangan DDOS sebenarnya adalah transaksi berbayar, dan di mana ada uang, ada beberapa jejak.

"Pergi setelah alamat IP tidak benar-benar membantu," kata Max Becker, CTO dari Ultrascan Knowledge Process Outsourcing, anak perusahaan dari perusahaan investigasi penipuan Ultrascan. "Apa yang kami coba lakukan adalah mengejar orang-orang yang mengatur dan membayar untuk jenis serangan seperti ini."

Ultrascan memiliki jaringan informan yang tertutup bagi kelompok kriminal terorganisir di Asia, banyak di antaranya terlibat dalam kejahatan dunia maya., kata Frank Engelsman, seorang penyelidik dengan Ultrascan yang berbasis di Belanda. Satu pertanyaan adalah apakah bisa dibuktikan bahwa kelompok kriminal telah dibayar oleh Korea Utara untuk melakukan serangan, kata Engelsman.

Itu bisa membutuhkan banyak pekerjaan investigasi. Tapi mungkin lebih mudah dari itu.

Penjahat dunia maya membuat kesalahan, seperti awal tahun ini ketika para peneliti menemukan jaringan mata-mata global yang disebut "GhostNet" yang menginfeksi komputer milik organisasi nonpemerintah Tibet, kantor pribadi Dalai Lama dan kedutaan lebih dari selusin negara. Pencarian Google oleh peneliti Nart Villeneuve menemukan beberapa bukti yang paling memberatkan - server tidak terenkripsi yang diindeks oleh mesin pencari.

Dari kesalahan ejaan, ke alamat e-mail ke kesalahan pengkodean, penyerang dapat meninggalkan petunjuk yang dapat mengubah cold trail hot.

"Anda tahu di mana kesalahan-kesalahan itu mungkin dibuat," kata Steve Santorelli, direktur penjangkauan global untuk Tim Cymru, sebuah firma riset keamanan internet nirlaba. "Kamu bisa membalik bebatuan kanan dengan cepat."

Dan Santorelli menambahkan: "Google tidak melupakan apa pun."