Atacurile DDoS din Coreea de Sud au avut la baza bombe cu ceas

În urmă cu câteva zile peste 40 website-uri din Coreea de Sud au fost ţintele unui atac DDoS (Distributed Denial of Service). Printre acestea s-au numărat şi câteva site-uri guvernamentale. Unele surse susţin că aceste atacuri seamănă cu cele desfăşurate în 2009 împotriva aceluiaşi stat, alături de Statele Unite ale Americii, deşi nu există nimic care să facă legătura între ele.

În ultima perioadă numeroase website-uri mari au fost ţintele unor atacuri DDoS, numărul acestora crescând atât de mult încât aproape nici nu mai reprezintă o ştire bombă care merită amintită. Totuşi, acest atac se remarcă de celelalte prin procesul distructiv cu care este înarmat fiecare utilizator al reţelei de computere infectate.

Cercetările făcute de un specialist in securitate de la McAfee scot la iveală faptul că aplicaţia se autodistruge şi calculatorul devine indisponibil după ce o anumită oră este atinsă, produsul malware afectând înregistrările de pe master boot.

Pe lângă asta, aplicaţia folosită în atacurile din Coreea de Sud folosesc un sistem C&C (comandă şi control) ceva mai deştept, acesta având două straturi de comunicare. Primul strat al sistemului C&C este encodat într-un fişier de configuraţie şi poate fi actualizat atunci când ownerul doreşte acest lucru. Acest strat de servere informează clienţii cu o listă de servere de pe stratul doi, ce vor veni cu informaţii suplimentare. Analiza primului strat scoate la iveală o amprentă a aplicaţiei malware – distribuţia computerelor infectate pe glob.

Aplicaţia a fost dezvoltată destul de inteligent, ea fiind concepută mai mult ca un downloader. Ea descărcă două unelte separate din reţeaua botnet-ului : aplicaţia de DDoS şi asa zisa „bombă cu ceas”, ce până în urmă cu câteva zile doar McAfee reuşea să-l detecteze.

Mai multe detalii tehnice despre această unealtă găsiţi aici.