Angriper med IT-dinosaur

Nordkoreanere kan ha prøvd å ramme USA og Sør-Korea med 2004-ormen «Mydoom».

Siden lørdag 4. juli har sentrale offentlige og private institusjoner i Sør-Korea og USA vært utsatt for distribuerte tjenestenektangrep. Angrepene så ut til å dabbe av onsdag, men i går kom det enda en bølge.

I USA har angrepene vært rettet mot blant annet Det hvite hus, departementet for innenlands sikkerhet, forsvarsdepartementet, finansdepartementet, samferdselsdepartementet, konkurransetilsynet (Federal Trade Commission), luftfartsdirektoratet (Federal Aviation Administration), Secret Service, New York-børsen, Nasdaq-børsen, avisa Washington Post og finanstjenesten til Yahoo.

I Sør-Korea er ofrene blant annet presidentboligen Det blå hus, forsvarsdepartementet, utenriksdepartementet, nasjonalforsamlingen, storbankene Shinhuan og Kookmin, avisen Chosun Ilbo, antivirusselskapet AhnLab og internettportalen naver.com.

Viruseksperter i Sør-Korea og USA er enige i at angrepene har samme kilde: Et zombie-nett (botnet) av 30 000 til 60 000 pc-er – et annet anslag er 50 000 til 65 000 pc-er – kontrollert av en variant av den kjente ormen Mydoom som herjet verden fra januar 2004 og et stykke ut i 2005.

Den nye angrepsbølgen torsdag kom etter at botnettet hadde fått nye instrukser.

Offentlige og private organer i USA og Sør-Korea samarbeider om mottiltak. I USA koordineres forsvaret av US-Cert og departementet for innenriks sikkerhet (Homeland Security). I Sør-Korea samarbeider antivirusselskapene AhnLab og Hauri, og tilbyr fri programvare for å skanne og fjerne Mydoom fra folks pc-er. Den sørkoreanske etterretningstjenesten sier den samarbeider med amerikanske myndigheter om å etterforske angrepene.

Angrepene har i perioder satt flere av målene ut av spill i flere timer, men i hovedsak har virkningen vært tregere tjenester enn vanlig for legitime brukere. De som er berørt sier at det kun dreier seg om tjenestenekt, ikke datainnbrudd. Data er ikke tapt eller lekket ut som følge av angrepene, heter det.

Mydoom-varianten som brukes i angrepene er ikke à jour med moderne teknologi for ondsinnet kode, ifølge sikkerhetseksperter fra blant annet Sans Internet Storm Center, Secureworks, Verisign, Arbor Networks og McAfee som har analysert hendelsene.

Et trekk som avslører at opphavet ikke følger med i time, er at ormen ikke prøver å slå ut eller gjemme seg for antivirus, i motsetning til alle nye ormer fra de siste to–tre årene.

Verisign og McAfee meldte først at ormen ikke så ut til å kunne motta nye instrukser om angrepsmål. Secureworks motbeviste dette, og fikk rett i går, da ormen faktisk ble omdirigert.

Sikkerhetsekspertene peker på at utvidelsen av angrepene til å omfatte flere mål gjør angrepene av hvert enkelt mål mindre effektivt. Konklusjonen som trekkes av det, er at hensikten ikke først og fremst er å skade, men å tiltrekke oppmerksomhet.

Undersøkelsene av koden avdekker ellers at ormen er formet med tanke på denne spesifikke bruken: Oppbyggingen er ikke modulær, og mange funksjoner er hardkodet. Begge egenskaper gjør ormen mindre egnet for langsiktig utvikling.

Den som har gått lengst i å karakterisere opphavets manglende kompetanse er Jose Nazario i Arbor Networks, i uttalelser referert i New York Times. Han snakker om «et dusin-angrep», om «på mange måter, virkelig elementær kode», og om at opphavet trolig ikke har høyskoleutdanning innen IT.

Den sørkoreanske etterretningstjenesten mener angrepene utføres av en fiendtlig innstilt gruppe, eventuelt på regjeringsnivå.

Den har dementert en melding fra nyhetsbyrået Yonhap om at den skulle ha beskyldt Nord-Korea direkte, men bekrefter at den prøver å klargjøre hvorvidt Nord-Korea kan ha medvirket til angrepene. Sørkoreanske medier meldte i mai at Nord-Korea har opprettet en enhet for kyberkrig for å operere gjennom det kinesiske nettet, og at enheten har prøvd å hacke militære nettverk i USA og Sør-Korea.

Etterforskere i USA uttalere at det er uklart hvem som står bak angrepene, og at det kreves svært omfattende etterforskning for å klargjøre hvorvidt Nord-Korea har en finger med i spillet. Secureworks bekrefter at angrepene ser ut til å ha gått via Kina, og at data generert av ormen opprinnelig stammer fra en koreansk-språklig nettleser. Ifølge Sans Internet Storm Center bærer både den første og den oppdaterte varianten av Mydoom preg av å ha vært endret med en koreansk-språklig datamaskin.

Et medlem av Nord-Koreas FN-delegasjon sier til Wall Street Journal at beskyldningen om nordkoreanske medvirkning til angrepet er grunnløs.

    Les også:

Til toppen