شهدت الفترة الماضية هجمات حجب خدمة على نطاق واسع ضد كوريا الجنوبية وفي جانب أقل ضد الولايات المتحدة. الهجمات اعتقد في البداية أن مصدرها كوريا الشمالية ليظهر مؤخراً أن الخادم المسؤول عنها موجود في بريطانيا, هذا تحليل مبسّط للهجمات وطريقة تنفيذها.

 

ما نعرفه حتى الآن عن الهجمات هو الآتي:

  • تم توزيع الكود الضار في شهر مايو من هذا العام.
  • تم نشر الكود الضّار من خلال البريد الإلكتروني ومواقع تم إختراقها.
  • بلغ عدد الأجهزة التي تم اختراقها 166,909 حاسوب موزعة على 74 دولة أكثر من 90% من هذه الحواسيب موجود في كوريا الجنوبية تليها الولايات المتحدة ثم الصين واليابان.
  • يتم التحكم بهذه الحواسيب من خلال ثمان خوادم يتم التحكم بهذه الخوادم بخادم يعتقد أنه مركز التحكم.

DDOS Attack Diagram

  • الحواسيب المصابة تقوم بالاتصال بحواسيب التحكم كل ثلاثة دقائق لاستلام أوامر جديدة.
  • في ذروة الهجمات بلغ قدرة الهجوم  13GBps هذا الرقم ضخم جدّاً. فهجوم كهذا يمكنه تعطيل الشبكة الوطنية لبعض الدول بشكل كامل.
  • القسم الأكبر من الهجوم تم باستخدام طلبات HTTP GET تحاكي تصفح المتصفحات للمواقع الضحية من خلال فيض UDP و ICMP.

Httpd Attack

  • في التحليل الذي نشرته الهيئة الأمنية الكورية الملف المشبوه كان عبارة عن ملف مضغوط يحمل الاسم flash.gif يحتوي على ملفات dll وملف يحتوي على قائمة باسماء المواقع المستهدفة.
  • الولايات المتحدة تمكنت من احباط الهجوم في أول يومين وذلك عن طريق عمل صد للعناوين القادمة من كوريا الجنوبية.
  • الهجوم كان على 5 مراحل بدأت في الرابع من يونيو. وكان المرحلة الأخيرة منها في العاشر من يونيو بعملية تدمير للأقراص الصلبة للحواسيب المصابة.
  • الهجوم استهدف بدرجة اساسية كوريا الجنوبية حيث أن الكود الضار كان يبحث عن برمجيات كانت تستخدم في كوريا الجنوبية منذ عشر سنوات مثل برنامج معالج الكلمات الكوري هوولو.
  • كون اكثر من 90% من الحواسيب المصابة هي من كوريا الجنوبية لم تتمكن الدولة من عمل صدّ للعناوين على جدارها النّاري الوطني كما فعلت الولايات المتحدة.
  • تم تعطيل الجدار النّاري الخاص بالويندوز لتسهيل عملية الهجوم.

عن الكاتب:

باحث عن المعرفة, طالب ماجستير باحث في أمن المعلومات و مدوّن يهتم في العديد من الجالات المتعلّقة بالشبكات, الحماية والأنظمة المفتوحة المصدر.