شهدت الفترة الماضية هجمات حجب خدمة على نطاق واسع ضد كوريا الجنوبية وفي جانب أقل ضد الولايات المتحدة. الهجمات اعتقد في البداية أن مصدرها كوريا الشمالية ليظهر مؤخراً أن الخادم المسؤول عنها موجود في بريطانيا, هذا تحليل مبسّط للهجمات وطريقة تنفيذها.

ما نعرفه حتى الآن عن الهجمات هو الآتي:

• تم توزيع الكود الضار في شهر مايو من هذا العام.
• تم نشر الكود الضّار من خلال البريد الإلكتروني ومواقع تم إختراقها.
• بلغ عدد الأجهزة التي تم اختراقها 166,909 حاسوب موزعة على 74 دولة أكثر من 90% من هذه الحواسيب موجود في كوريا الجنوبية تليها الولايات المتحدة ثم الصين واليابان.
• يتم التحكم بهذه الحواسيب من خلال ثمان خوادم يتم التحكم بهذه الخوادم بخادم يعتقد أنه مركز التحكم.

• الحواسيب المصابة تقوم بالاتصال بحواسيب التحكم كل ثلاثة دقائق لاستلام أوامر جديدة.
• في ذروة الهجمات بلغ قدرة الهجوم  13GBps هذا الرقم ضخم جدّاً. فهجوم كهذا يمكنه تعطيل الشبكة الوطنية لبعض الدول بشكل كامل.
• القسم الأكبر من الهجوم تم باستخدام طلبات HTTP GET تحاكي تصفح المتصفحات للمواقع الضحية من خلال فيض UDP و ICMP.

• في التحليل الذي نشرته الهيئة الأمنية الكورية الملف المشبوه كان عبارة عن ملف مضغوط يحمل الاسم flash.gif يحتوي على ملفات dll وملف يحتوي على قائمة باسماء المواقع المستهدفة.
• الولايات المتحدة تمكنت من احباط الهجوم في أول يومين وذلك عن طريق عمل صد للعناوين القادمة من كوريا الجنوبية.
• الهجوم كان على 5 مراحل بدأت في الرابع من يونيو. وكان المرحلة الأخيرة منها في العاشر من يونيو بعملية تدمير للأقراص الصلبة للحواسيب المصابة.
• الهجوم استهدف بدرجة اساسية كوريا الجنوبية حيث أن الكود الضار كان يبحث عن برمجيات كانت تستخدم في كوريا الجنوبية منذ عشر سنوات مثل برنامج معالج الكلمات الكوري هوولو.
• كون اكثر من 90% من الحواسيب المصابة هي من كوريا الجنوبية لم تتمكن الدولة من عمل صدّ للعناوين على جدارها النّاري الوطني كما فعلت الولايات المتحدة.
• تم تعطيل الجدار النّاري الخاص بالويندوز لتسهيل عملية الهجوم.

عن الكاتب:

باحث عن المعرفة, طالب ماجستير باحث في أمن المعلومات و مدوّن يهتم في العديد من الجالات المتعلّقة بالشبكات, الحماية والأنظمة المفتوحة المصدر.

التعليقات (8)

...
أرسلت بواسطة: Mustafa Albazy في July 18, 2009

اسلوب جميل جداً للموضوع :)

وفعلاً 13GB/ps رقم لايقاوم


انا اشوف ان النوع الجديد من الفايروسات اصبح الهدف منة استخدام الحواسيب المتصلة بالانترنت كبوتات ضرب .. زمان كانت اغلب الفيروسات هدفها تدمير النظام او تعطيل شيء بالنظام.

• 
• +0
• 
• 

...
أرسلت بواسطة: Zaid في July 18, 2009

فعلاً شيئ مرتب
يعني مرتبيهة مثل حلقات للسلسلة
و اوافق الاخ مصطفى , تغير الهدف من برمجة الفيروسات الان اصبح هدف معضمهم جمع اكبر عدد من الاجهزة لتنفيذ اهدافهم

• 
• +0
• 
• 

...
أرسلت بواسطة: Mohannad Shahat في July 18, 2009

يعطيك العافيه موضوع جميل ومرتب

تحياتي

• 
• +1
• 
• 

متميز كالعادة :)
أرسلت بواسطة: عبدالمهيمن في July 18, 2009

شكرا أخي باحث على التوضيح لكن 166,909 جهاز مصاب و DDoS 13GBps ليست كلمة سهلة! والفضل يعود لنظام ويندوز ومتصفح Internet Explorer بكل تأكيد!

بخصوص الفايروسات بالفعل شيء مخيف خصوصا أن تطورها سريع جدا وتنتشر بشكل جنوني بمجرد اكتشاف ثغرة في النظام أو المتصفح وكل مرة نشوف تطويرات وقدرات جديدة وصلت لدرجة تفوقها على الأنتي فايروس وبرامج الحماية مثل ماحصل في Conficker!

• 
• +1
• 
• 

...
أرسلت بواسطة: unex في July 25, 2009

السلام عليكم
الشء الذي لا افهمه كيف لل ISP ان يعتمدوا على MSOS ؟؟

• 
• +0
• 
• 

...
أرسلت بواسطة: Moh-Ec$perT في August 21, 2009

أنتم تتحدثون عن العمل ونسيتم صاحبه حتى أن دولة مثل كوريا الجنوبية عجزت عن صد الهجوم
ماذا لو كانت دولة من دولنا العربية فهي ضعيفة الحماية نسبيا
ربي يستر و السلام

• 
• +0
• 
• 

...
أرسلت بواسطة: ســامي في March 10, 2010

بورك فيك اخي باحت عن المعرفة

موضوع قيم
Mustafa Albazy معك حق 100% مع دائمااسئل نفسي ولا اجد اجوبة حول بعترة الفيروسات
التى تحطم النضام ماذا سيستفيذ هؤلاء ؟......

• 
• +0
• 
• 

قوي
أرسلت بواسطة: Key Sniffer في November 23, 2010

والله شي جبار و مجهود كبير أيمت نحن العرب رح يطلع معنا نصف ما يفعلونه و نعمل هجوم مماثل و ندمر الشبكة الوطني للأمريكان و نمسح فيون الأرض و الله نيالون على هل أصرار في العلم مشكور أخوي على المقال الأكثر من رائع

• 
• +0
• 
•