Специалисты по кибербезопасности анализируют технологию атаки на сайты госструктур и крупных компаний США и Южной Кореи. Эта атака началась 4 июля с распространения почтовой троянской программы.

При анализе кода этой программы и характера проведенной DDOS-атаки выявлены некоторые факторы, позволяющие усомниться в причастности Северной Кореи к этой операции.

Характер вредоносного кода

Основным инструментом проведения DDOS-атаки был, как и во всех подобных случаях, специально написанный червь. Анализируя код этой программы, специалисты смогли идентифицировать сильно измененный червь MyDoom, запомнившийся тысячам пользователей Windows в 2004 году.

Директор по разработке почтовых приложений SecureWorks Джо Стюарт утверждает, что большая часть кода MyDoom переписана заново. В коде действительно встречаются конструкции, характерные для корейских программистов, но Стюарт говорит: «…Любой программист мог вставить в код эти характерные фрагменты, чтобы сбить вас со следа».

Специалисты также отмечают, что червь был модифицирован с использованием высококлассной культуры программирования, это возможно только при условии, что авторы программы обладают большим опытом коммерческого программирования.

Объекты для нападения

Самым странным в этой атаке является список сайтов — объектов для нападения. Червь начал распространяться в сетях США 4 июля. На следующий день началась атака, но ее объектом стали только пять правительственных сайтов. 6 июля список включал в себя уже 21 сайт, в него входили и ресурсы коммерческих организаций. 7 июля список был вновь расширен до 26 сайтов, включая южнокорейские адреса.

Такое построение списка для атаки ботнетом делает нападение неэффективным, ведь уже в первый день специалистами разрабатываются и принимаются меры по защите сетей. Как правило, при проведении DDOS-атаки после скрытого периода распространения червя проводится массовая организация запросов на выбранные адреса, и именно первые часы акции приносят наибольший эффект.

Странен также список сайтов, выбранных в качестве жертв. Из сайтов США наиболее значимыми являются ресурсы Американского казначейства, Белого дома, Федеральной торговой комиссии и Washington Post. Даже те сайты, которые подверглись нападению, оказались готовыми к атаке и отбили ее достаточно уверенно, если не считать некоторые перебои с доступом пользователей.

Цель атаки

Мотивы лиц, организовавших атаку, остаются неясными. Цели дискредитации имиджа государственных структур США не соответствует список объектов для нападения. А попыток украсть данные с атакованных сайтов даже не предпринималось.

Джо Стюарт утверждает, что большинство DDOS-ботнетов пишется ради получения денег, а в данном случае ни о какой прибыли речи не идет. Специалист считает, что целью являлась просто демонстрация нападения.

Рик Говард, директор iDefense Security, выражается яснее: «Тайминг атаки очень подозрителен. Список объектов нападения настолько уникален, что мы не нашли никакой связи между сайтами-жертвами и не установили мотивов нападения. Поскольку администрация Обамы пытается провести в жизнь новую политику кибербезопасности, этот случай наверняка будет использован в качестве аргумента в спорах с оппонентами. У меня вопрос – кто извлек больше всего выгоды в результате этой атаки?»

После атаки. Победители и проигравшие

Президент США Барак Обама действительно активно взялся за проведение в жизнь новой политики кибербезопасности. Программа предполагает как структурные изменения в спецслужбах, так и специальное финансирование.

Интересно, что целью программы Обамы является защита в первую очередь от китайских и российских хакеров. Последняя DDOS-атака прибавила аргументов сторонникам программы.

Нет не только доказательств причастности Северной Кореи к последней атаке неизвестных хакеров, но и есть большие сомнения специалистов по безопасности относительно участия Пхеньяна в этой акции. Но информация о координации атаки с территории Северной Кореи уже распространена Associated Press со ссылкой на источники в структурах безопасности США.