Dit zegt een Vietnamese beveiligingsanalist tegen de IDG News Service. Deze bevindingen staan haaks op de beweringen van de VS en Zuid-Korea dat de aanval afkomstig zou zijn van Noord-Korea. Security-experts waren sceptisch over deze claims omdat ze gemaakt zijn in off-the-record briefings en nooit bewezen zijn.

De computers die gebruikt werden om de DDoS-aanval aan te sturen waren geïnfecteerd met een virus waardoor de aanvallers er anoniem gebruik van konden maken. Elke drie minuten maakten de computers willekeurig contact met een server die gebruikt werd door de aanvallers. Dat waren er acht in totaal, aldus Nguyen Minh Duc, senior security director van Bach Khoa Internetwork Security (Bkis). Het bedrijf zegt controle gekregen te hebben over twee servers en kon zo de master server achterhalen.

166.000 geïnfecteerde pc's

De master server heeft een ip-adres in de 195.90.118.x range, aldus Nguyen. Dat adres is geregistreerd bij Global Digital Broadcast in Groot-Brittannië. "Nu we de bron van de aanval in Groot-Brittannië hebben gelokaliseerd denken we dat het absoluut mogelijk is om de hacker te vinden", schrijft Nguyen in een blogpost. Global Digital Broadcast was niet direct bereikbaar voor commentaar.

Uit een analyse van de logbestanden van de twee servers blijkt dat de aanvallen afkomstig waren van 166,908 geïnfecteerde pc's in 74 landen. Dat getal is significant hoger dan de schatting van 'tienduizenden' van andere beveiligingsfirma's. Het grootste aantal gebruikte pc's stond in Zuid-Korea met achtereenvolgens de VS, China, Japan, Australie, de Filipijnen, Nieuw-Zeeland, Groot-Brittannië en Vietnam.

Week

De DDoS-aanval hield een week aan en gebruikte een aangepaste versie van het uit januari 2004 stammende MyDoom-virus. Naast het veroorzaken van een DDoS-aanval was het mogelijk om via de worm ook kwaadaardige code te injecteren. In de gebruikte aangepaste versie van MyDoom zat ook een lijst verwerkt met aan te vallen sites. De lijst bevatte 13 Zuid-Koreaanse en 23 Amerikaanse sites.

In Zuid-Korea werd de website van de president uit de lucht gehaald. Ook de website van het ministerie van Buitenlandse Zaken en van Defensie waren offline, net als die van de Amerikaanse troepen in Zuid-Korea. Verder lagen er verschillende Amerikaanse en Koreaanse banken onder vuur.