Efterforskningen af angrebet sidste uge på amerikanske og sydkoreanske myndigheders websites viser, at det er meget svært at finde frem til bagmændene bag et sådan angreb.
I går kunne Computerworld rapportere, at masterserveren, der koordinerede de 166.908 zombie-pc'ers ddos-angreb formentlig var placeret i Storbritannien.
Ikke UK, men Miami
Masterserveren kontrollerede 8 andre command&control (c&c)-servere, hvor de inficerede pc'er hentede instruktioner fra.
Det var det vietnamesiske sikkerhedsfirma Bkis, der havde identificeret IP-adressen for masterserveren, efter at sikkerhedsanalytikere fra Bkis havde fået kontrol over to af de otte c&c-servere.
Nu lyder den seneste melding at masterserveren er placeret i Miami, Florida.
Partner forbundet med VPN
Masterserveren som var identificeret af Bkis benyttede sig af en IP-adresse som tilhører Global Digital Broadcast. Global Digital Broadcast er et firma, der specialiserer sig i IP TV-teknologi og firmaet er ganske rigtigt baseret i Brighton, England.
Men masterserveren står ikke i UK, den er i Miami, oplyser Tim Wray, medejer af Digital Global Broadcast, som IDG News Service talte med tirsdag aften.
Serveren tilhører nemlig Digital Latin America (DLA), som er en af Digital Global Broadcast's partnere. DLA koder Latin-amerikanske programmer så de kan distribueres over IP TV-kompatible enheder som set-top bokse.
Nye programmer hentes fra satellit, kodes i det rette britiske format og sendes så til UK over en VPN-forbindelse, hvor Digital Global Broadcast distribuerer programmerne til latinamerikansk-interesserede briter.
Ifølge Tim Wray var VPN-forbindelsen med til at få det til at se ud som om, masterserveren tilhørte Digital Global Broadcast selvom den befandt sig i DLA's datacenter i Miami .
Virus fundet på masterserver
Amaya Ariztoy, rådgiver for det Miamibaserede firma DLA, fortæller, at virksomheden har undersøgt den pågældende server og at der er fundet virus på serveren.
"Vi er igang med en intern undersøgelse," siger Amaya Ariztoy.
Kapløb med tiden
I et kapløb med tiden gælder det for sikkerhedsanalytikere om at sikre sig bevismateriale på masterserveren. Hvis serveren stadig er under hackernes kontrol, når den første mistanke opstår om at serveren misbruges, kan hackerne nå at fjerne afgørende elektroniske spor.
Data som logfiler, audit trails og uploaded filer er hvad efterforskerne vil gå efter, siger Jose Nazario, leder af sikkerhedsresearch hos Arbor Networks.
"Den hellige gral du leder efter er spor, der viser, hvor angriberne kom fra og hvornår," siger han.
Til at udføre angrebet i sidste uge, modificerede hackerne det gamle malware MyDoom, som stammer tilbage fra januar 2004.
Skødesløse hackere?
Analyse af den anvendte MyDoom-variant giver håb om, at hackerne ikke er så avancerede.
"Jeg synes stadig, at koden er dårligt skrevet, så jeg håber, det betyder, at de [hackerne] efterlader tydelige spor," siger Jose Nazario.
