DDoS-Angriffe auf Südkorea und USA kamen aus Großbritannien
Vietnamesische Sicherheitsexperten wollen die Kommunikation der für die Angriffe benutzten MyDoom-Trojaner bis zu einem britischen Master-Server zurückverfolgt haben.
Für die drei Wellen von DDoS-Angriffen auf Server der US- und der südkoreanischen Regierung sowie von einigen Unternehmen hatte der südkoreanische Geheimdienst Nordkorea mit seiner "Hackerarmee" verantwortlich gemacht. Die Zombie-Rechner, 20.000 sollen es alleine in Südkorea gewesen sein, dienten nicht nur dazu, die DDoS-Angriffe zu führen, sondern der auf ihnen installierte MyDoom-Trojaner sollte auch zu einer bestimmten Zeit ihre Festplatte löschen. Das aber ist nur bei wenigen gelungen.
Hinweise darauf, dass die Angriffe etwas mit Nordkorea zu tun haben könnten, gab es nicht. Die Experten der an der TU Hanoi angesiedelten vietnamesischen Internetsicherheitsorganisation Bkis, die zum Asian Pacific Computer Emergency Response Team (ACERT) gehört, haben es nach eigenen Angaben geschafft, zwei der acht Command-and-Control (C&C) Server, die das Botnet kontrollierten, zu hacken.
Dadurch konnten sie die IP-Adresse des Masterservers herausfinden. Dessen IP-Adresse 195.90.118.xxx ist in Großbritannien lokalisiert, der Rechner arbeitet mit Windows Server 2003 als Betriebssystem. Die Adresse wurde an das KrCERT und das US-CERT weitergegeben, um den Besitzer ausfindig zu machen. Auch wenn der Masterserver sich in Großbritannien befindet, müssen die Angreifer keineswegs von dort kommen. Die Täter könnten den Server gehackt haben, um ihn zu den Angriffen zu benutzen.
Die Computerexperten fanden auch heraus, wie viele Zombies von den 8 Servern gesteuert wurden. Anfangs war die Rede von einem weltweiten Botnet mit bis zu 60.000 Rechnern. Es waren aber weitaus mehr, nämlich 166.908 aus 74 Ländern, die meisten Zombies gab es in Südkorea, den USA, China und Japan.
In Südkorea wurde von der Kommunikationskommission KCC die Analyse der vietnamesischen Computerexperten im Prinzip bestätigt. Man habe sich mit der britischen Regierung verständigt, um die Quelle der Angriffe zu identifizieren. Allerdings verweist die KCC auch auf Unstimmigkeiten mit eigenen Analysen hin. Die hatten nämlich ergeben, dass die Zombie-Rechner nicht durch C&C-Server gesteuert würden, sondern autonom arbeiteten. (fr)
