Der er nu kommet lidt flere detaljer om sidste uges voldsomme DDos-angreb (distributed Denial of service), hvor flere amerikanske og sydkoreanske myndigheders websites blev lagt ned.
Dengang pegede flere på Nordkorea som skurken bag angrebet, men nu viser det sig, at angrebet tilsyneladende er koordineret fra en masterserver i Storbritanien.
Det viser en efterforskning foretaget af sikkerhedsanalytikere fra det vietnamesiske sikkerhedsfirma Bach Khoa Internetwork Security (Bkis).
En masterserver og 8 C&C-servere
Efter en henvendelse fra det koreanske CERT, KrCERT, gik Bkis igang med at analysere malwaren som var årsag til angrebet.
Nguyen Minh Duc, sikkerhedsdirektør hos Bkis, skriver på sin blog:
"Vi har analyseret malware-mønsteret som vi modtog fra KrCERT og har lokaliseret botnettet som kontrolleres af otte Command and Control (C&C) servere ved hjælp af kode embedded i en fil med navnet "flash.gif". Hvert tredie minut, vælger zombierne en tilfældig server ud af de otte og kobler sig op for at modtage ordrer.
Vi har fundet en masterserver i UK, som kontrollerer alle de 8 C&C-servere, som stod bag en række af cyberangrebene i sidste uge. Så kilden til angrebene er blevet identificeret til UK."
Sikkerhedsanalytikerne hos Bkis overtog kontrollen med 2 af de 8 C&C-servere, hvilket gav mulighed for at analysere servernes logs. Via log-analysen fandt Bkis frem til masterserveren med IP-adressen 195.90.118.xxx. Ifølge Bkis er den masterserver placeret i UK. Serveren kører Windows 2003 Server.
Mange flere zombier
Analysen viser også, at der var 166.908 zombier fra 74 lande involveret i angrebene - mange flere end de mellem 30.000 og 60.000 inficerede computere som oprindeligt blev antaget at være med i botnettet.
Selvom masterserveren er placeret i Storbritannien er det imidlertid ikke ensbetydende med, at gerningsmændene er briter eller befinder sig i Storbritannien.
