Actualidad

Las pistas sobre los últimos ciberataques contra EE.UU. y Corea del Sur llevan hasta Miami

Las pesquisas para encontrar a los autores del ciberataque que paralizó varias webs oficiales de Estados Unidos y Corea del Sur la pasada semana se están ampliando a todo el mundo. El servidor que dirigió el ataque pertenece a una empresa de Reino Unido, pero se encuentra en Miami. Las autoridades británicas están investigando el caso.

El pasado martes, la empresa de seguridad vietnamita Back Khoa Interetwork Security (Bkis) identificó el servidor maestro utilizado para coordinar los ataques de denegación de servicio que echaron abajo las principales páginas webs gubernamentales de Estados Unidos y Corea del Sur la pasada semana. Dicho servidor tiene una dirección IP utilizada por Global Digital Broadcast, una empresa de tecnología IP TV con sede en Brighton (Inglaterra), según Bkis.

Ese servidor maestro distribuyó las instrucciones a otros ocho servidores de órdenes y control utilizados en el ataque. Bkis, que ha logrado hacerse con el control de dos de los ochos equipos, asegura que en el ataque se emplearon 166.908 ordenadores hackeados en 74 países, programados para obtener nuevas instrucciones cada tres minutos.

Aunque el servidor principal pertenece a una compañía británica, se encuentra en Miami, según Tim Gras, uno de los propietarios de Digital Global Broadcast. El equipo pertenece a Digital Latin America (DLA), uno de los socios de DGB. DLA codifica los programas latinoamericanos para su distribución a través de dispositivos compatibles con IPTV, como los set-top boxes.

Los nuevos programas se reciben vía satélite y codifican en el formato adecuado para, posteriormente, enviarlos a Reino Unido mediante VPN, donde Digital Global Broadcast distribuye el contenido, según explicó Gras. La conexión VPN hizo que el servidor maestro pareciera que pertenecía a DGB, si bien está situado en el centro de datos de DLA en Miami.

Los ingenieros de Digital Global Broadcast descartaron cualquier vínculo de los ataques con el gobierno de Corea del Norte, tal y como habían sugerido las autoridades surcoreanas.

Digital Global Broadcast recibió una notificación sobre un problema de su proveedor de hosting, C4L, afirma Wray. Su compañía también fue contactada por la agencia británica SOCA (Serious Organized Crime Agency), que sin embargo ni ha confirmado ni desmentido la investigación.

Por su parte, Amaya Ariztoy, consejera general de DLA, ha confirmado que la compañía ha examinado el servidor en cuestión como parte de una investigación interna y que "han encontrado virus".

Los investigadores deberán confiscar el servidor maestro para realizar un análisis forense, lo que normalmente supone una carrera contra los hackers pues el equipo sigue bajo su control y podrían borrar datos críticos que ayudarían a la investigación. “Es un proceso tedioso y hay que hacerlo tan rápido como sea posible”, explica José Nazario, director de investigación en seguridad de Arbor Networks. Estos datos se refieren a archivos de logs, registros de auditoría y archivos cargados que podrían revelar desde dónde y cuándo se conectó el atacante.

Para cometer los ataques, los hackers modificaron una vieja pieza de malware llamada MyDoom, que apareció por primera vez en 2004. MyDoom tiene características de gusano que se distribuye por email aunque también puede descargar malware a un PC y ser programado para llevar a cabo un ataque de denegación de servicio contra páginas web.



TE PUEDE INTERESAR...

Nuevo número de nuestra revista de canal 
 
DealerWorld Digital

 

Cobertura de nuestros encuentros

 

Documentos ComputerWorld



Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?