• Tweet

John Leyden

El spam y los fraudes han continuado para fluir de la precipitación, de la semana pasada de DDoS contra Twitter.

El ataque, que tuvo el servicio de micro-blogging offline por alrededor de dos horas el jueves, y que redujo los niveles de servicio durante mucho más tiempo después, también afectó a Facebook, LiveJournal y otros sitios. El objetivo del ataque de alto perfil (de acuerdo con una popular, aunque controvertida teoría) era Cyxymu, un blogger pro-georgiano. Fue supuestamente para que coincidiera con el aniversario de la guerra de 2008 entre Georgia y Rusia, sobre la región separatista de Ossetia del Sur.

Perversos han tomado ventaja de la nueva fama encontrada de envenenar el motor de Cyxmu de búsqueda de índices, así que busca la lista de sitios acogida de scareware, advierte McAfee. Sophos informa que ha detectado spam tras los ataques que aparentemente contiene unidioma Inglés de disculpa de Cyxymu. Es mucho más probable la supuesta disculpa que no tiene nada que ver con Cyxymu y está diseñado para irritar los beneficiarios y enajenar el blogger, Sophos.

En las entrevistas con la CNN y The Guardian, Cyxymu, en realidad un profesor de economía de 34 años de edad de Tiblisi, la capital de Georgia, culpó al ataque de negación de servicio que afectó LiveJournal, Twitter y Facebook la semana pasada en Kremlin "Tal vez fue llevada a cabo por los piratas informáticos ordinarios pero estoy seguro de la orden provino del gobierno ruso", Cyxymu dijo a The Guardian.

Mientras tanto, más detalles técnicos están empezando a aparecer sobre el ataque de la semana pasada. McAfee dijo que una campaña de spam de referencia a los blogs de Cyxymu y las cuentas de Twitter y con remitentes falsos comenzó a las 13:00 H. Esp, varias horas antes de un ataque DDoS contra Twitter, Facebook y otros. La campaña de spam Joe Job y el posterior ataque DDoS vino (al menos en parte) de la misma botnet de máquinas comprometidas, de acuerdo con un blog de McAfee.

En nuestro análisis, el spam parece haber sido distribuido, al menos parcialmente, por el mismo como una botnet que se utilizó para el DDoS. De la difusión de las máquinas infectadas por el spam, el 29 por ciento se encuentra en Brasil, el 9 por ciento en Turquía, y el 8 por ciento en la India.

Hemos detectado dos carras spam que comenzó alrededor de 8 a.m. EDT el jueves 6 de agosto y terminó alrededor de 11 a.m el mismo día, con los últimos mensajes que se detectó a las 4 pm. Sólo el segundo spam, el mayor de los dos, burló la dirección de Cyxymu de correo electrónico, mientras que la primera de ellas al azar remite las direcciones de correo electrónico.

Los expertos de mitigación de DDoS Arbor dijeron que la Red de ataque de tráfico DDoS que fluyó la semana pasada comenzó con una base de inundación SYN (el equivalente cibernético de un tono de timbre y el funcionamiento de distancia) a los ataques mucho más sofisticados.

Mientras que el spam "Joe Job" puede tener vínculos compuesto una porción significativa de los atentados de ayer (como ya se ha informado), [del Arbor] en el Observatorio vieron una serie de nuevos vectores de ataque incluyendo TCP SYN, Flood UDP, y los ataques de árboles de Navidad.

El análisis combinado de McAfee y Arbor sugieren que el spam Joe Job, se falsea para aparecer de Cyxymu e intentara desacreditarle, puede haber jugado una parte en la preparación para el ataque y podría haber colocado la carga en algunos sitios web de referencia, pero que el daño real se ha hecho más tarde en un ataque DDoS convencionales. Este ataque aumentó en complejidad con el tiempo, un factor que dificulta el repeler, y llegó al menos en parte de la misma botnet utilizada para enviar spam como ataque inicial.

Ningún análisis nos dice mucho sobre quién realmente realizó el ataque que, juzgando de campañas DDoS prominentes anteriores, probablemente siempre permanecerá en algo de misterio.