Как сообщил Ронен Атиас (Ronen Atias), аналитик в области информационной безопасности компании Incapsula, для проведения DDoS-атак на сайты американских финансовых учреждений неизвестные злоумышленники использовали ботнет.
Многочисленные HTTP- и UDP-запросы отправлялись на порталы большого количества банков США с скомпрометированного сайта, который содержал бэкдор, созданный на основе PHP-скрипта.
При помощи скомпрометированного сайта ресурсы американских финансовых учреждений наполнялись мусорным траффиком в течение определенного периода времени: от 7 минут до 1 часа. Как только сайты восстанавливали корректную работу, атаки возобновлялись.
«Для того, чтоб увеличить объем атак хакеры все чаще используют web-серверы вместо персональных компьютеров, - отмечает Атиас. – Это имеет свой смысл. Серверы, как правило, мощнее компьютеров, имеющих доступ к высокоскоростным сетям и к ним можно легко получить доступ посредством уязвимости на одном из сайтов, которые расположены на нем».
Исследователи Incapsula отмечают, что одной из особенностей бэкдора является тот факт, что он создавал несколько своих копий на сервере для того, чтобы в полной мере использовать свои ресурсы. Помимо этого, скрипт бэкдора содержит API для того, чтобы быстрее адаптироваться к изменениям в системе безопасности сайтов, которые восстанавливались после DDoS-атак.
Отметим, что скомпрометированный сайт, который размещен в Великобритании, управлялся посредством другого турецкого сайта. Однако исследователи не исключают, что эти сайты служили всего лишь мостом между реальными нападавшими и ботнетом, которым они управляли для нападения на порталы американских банков.
Напомним, что ответственность за DDoS-атаки на финансовые учреждения США взяла на себя малоизвестная хакерская группа Cyber fighters of Izz ad-din Al qassam. Однако недавно появилась информация о том, что нападения организовывались с подачи иранского правительства.
