Investigasi Ke Serangan Cyber ​​Membentang di Seluruh Dunia

Pihak berwenang Inggris telah meluncurkan penyelidikan terhadap serangan cyber baru-baru ini yang melumpuhkan situs-situs Web di AS dan Korea Selatan, sebagai jejak untuk menemukan para pelaku membentang di seluruh dunia.

Pada hari Selasa, vendor keamanan Vietnam, Bach Khoa Internetwork Security (Bkis)) mengatakan telah mengidentifikasi server perintah-dan-kontrol utama yang digunakan untuk mengkoordinasikan serangan denial-of-service, yang menurunkan situs web pemerintah AS dan Korea Selatan.

Server perintah dan kontrol digunakan untuk mendistribusikan instruksi untuk zombie PC, yang membentuk botnet yang dapat digunakan untuk membombardir situs Web dengan lalu lintas, menjadikan situs tidak berguna. Server berada di alamat IP (Internet Protocol) yang digunakan oleh Global Digital Broadcast, sebuah perusahaan teknologi TV IP yang berbasis di Brighton, Inggris, menurut Bkis.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Server induk itu mendistribusikan instruksi ke delapan server perintah-dan-kontrol lain yang digunakan dalam serangan. Bkis, yang berhasil menguasai dua dari delapan server, mengatakan bahwa 166.908 komputer yang diretas di 74 negara digunakan dalam serangan itu dan diprogram untuk mendapatkan instruksi baru setiap tiga menit.

Tapi server master tidak ada dalam UK; itu di Miami, menurut Tim Wray, salah satu pemilik Digital Global Broadcast, yang berbicara dengan IDG News Service pada Selasa malam, waktu London.

Server milik Digital Latin America (DLA), yang merupakan salah satu dari Digital Mitra Global Broadcast. DLA mengkodekan pemrograman Amerika Latin untuk distribusi melalui perangkat yang kompatibel dengan IP TV, seperti set-top boxes.

Program baru diambil dari satelit dan dikodekan ke dalam format yang tepat, kemudian dikirim melalui VPN (Virtual Private Network) ke Inggris, di mana Digital Global Broadcast mendistribusikan konten, kata Wray. Koneksi VPN membuatnya tampak bahwa server master adalah milik Global Global Broadcast ketika sebenarnya berada di pusat data Miami DLA.

Insinyur dari Digital Global Broadcast dengan cepat mendiskon bahwa serangan itu berasal dari pemerintah Korea Utara, yang telah disarankan oleh pemerintah Korea Selatan mungkin bertanggung jawab.

Siaran Global Digital diberitahu masalah oleh penyedia hostingnya, C4L, kata Wray. Perusahaannya juga telah dihubungi oleh Badan Kejahatan Terorganisir Serius PBB (SOCA). Seorang pejabat SOCA mengatakan dia tidak bisa mengkonfirmasi atau menyangkal investigasi. Pejabat DLA tidak dapat segera dihubungi.

Penyidik ​​akan perlu merebut server induk untuk analisis forensik. Ini sering perlombaan melawan peretas, karena jika server masih di bawah kendali mereka, data penting dapat dihapus yang akan membantu penyelidikan.

"Ini adalah proses yang membosankan dan Anda ingin melakukannya secepat mungkin," kata Jose Nazario, manajer riset keamanan untuk Arbor Networks.

Data seperti file log, jejak audit, dan file yang diunggah akan dicari oleh penyelidik, kata Nazario. "Holy Grail yang Anda cari adalah potongan-potongan forensik yang mengungkapkan di mana penyerang terhubung dari dan kapan," katanya.

Untuk melakukan serangan, peretas memodifikasi malware yang relatif lama yang disebut MyDoom, yang pertama kali muncul di Januari 2004. MyDoom memiliki karakteristik cacing e-mail dan juga dapat mengunduh malware lain ke PC dan diprogram untuk melakukan serangan denial-of-service terhadap situs Web.

Analisis varian MyDoom yang digunakan dalam serangan itu tidak impresif. "Saya masih berpikir bahwa kode ini cukup ceroboh, yang saya harap berarti mereka [para peretas] meninggalkan jejak bukti yang bagus," kata Nazario.