Przypomnijmy: do serii ataków, polegających na zasypaniu koreańskich i amerykańskich stron WWW ogromną liczbą odwołań, co prowadziło do zawieszania i wyłączania się serwerów, doszło 10 dni temu temu. Wśród celów znalazły się m.in. popularne serwisy informacyjne, portale, e-banki, a także witryny instytucji rządowych oraz wojska.

Amerykanie zdołali odeprzeć większość ataków DDoS (Distributed Denial of Service) - ich skutki były praktycznie niedostrzegalne; w Korei było znacznie gorzej - zaatakowane strony były przez kilkadziesiąt godzin niedostępne. Atak był kilkakrotnie ponawiany - specjaliści twierdzą, że trwał prawie tydzień. Szerzej pisaliśmy o tym m.in. w tekście "Koreański DDoS - to jeszcze nie koniec?".

Do ataków wciąż nikt się nie przyznawał - ale wiele mediów sugerowało od początku, że może to być sprawka hakerów z Korei Północnej (mimo iż tak naprawdę nie było na to żadnych dowodów - jedyną przesłanką były napięte stosunki pomiędzy tymi krajami).

Tę tezę podważył właśnie Nguyen Minh Duc, ceniony koreański specjalista ds. bezpieczeństwa i szef działu badawczego firmy Bach Khoa Internetwork Security. Duc przeprowadził drobiazgową analizę wydarzeń - ustalił m.in., jaki botnet (czyli sieć komputerów-zombie) wykorzystano do przeprowadzenia ataku. Ale na tym Wietnamczyk nie poprzestał - po namierzeniu owego botnetu zidentyfikował serwery, za pośrednictwem których kierowano atakami DDoS. Co więcej - zdołał przejąć kontrolę nad dwoma z nich i określić, skąd kontrolowano ataki na USA i Koreę Południową. Okazało się, że posłużono się do tego serwerem o adresie IP 195.90.118.x - ta pula adresów należy do brytyjskiej firmy Global Digital Broadcast. "Udało nam się namierzyć źródło ataku - mamy adres IP. Myślę, że możliwe jest też zidentyfikowanie konkretnej osoby odpowiedzialnej za te wydarzenia" - mówi specjalista. Gdy się to udało, być może dowiedzielibyśmy się, jakie były powody przeprowadzenia ataku.

Z analiz przeprowadzonych przez Bach Khoa Internetwork Security wynika też, że botnet wykorzystany do przeprowadzenia ataku liczył w sumie blisko 167 tys. komputerów z 74 krajów (głównie z USA, Chin, Japonii, Kanady, Australii, Nowej Zelandii oraz Wietnamu). To znacznie więcej, niż sądzono do tej pory - wcześniej inni specjaliści sugerowali, że botnet ów mógł liczyć co najwyżej kilkadziesiąt tysięcy zombiePC.