Gruzja Cyberataki powiązane z rosyjską przestępczością zorganizowaną

Cyberataki przeciwko Gruzji rok temu były prowadzone w ścisłym związku z rosyjskimi gangami przestępczymi, a napastnicy prawdopodobnie zostali poinformowani o zamiarze dokonania przez Rosję inwazji na kraj, zgodnie z nową analizą techniczną, z której wiele pozostaje tajemnicą.

Nadchodzą wspaniałe wnioski z US Cyber ​​Consequences Unit, niezależnego non-profit instytutu badawczego, który ocenia wpływ cyberataków. 100-stronicowa analiza techniczna jest dostępna tylko dla rządu USA i niektórych specjalistów od cyberbezpieczeństwa, ale organizacja opublikowała dziewięciostronicowe podsumowanie w poniedziałek.

Raport częściowo potwierdza niektóre z podejrzeń obserwatorów, którzy teoretyzowali że rozproszone ataki typu "odmowa usługi" (DDOS), które okaleczyły wiele gruzińskich witryn sieci Web, mają swoje korzenie w Rosji.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Raport powstał głównie z produkcji dzięki śledztwu prowadzonego przez CTO amerykańskiej agencji Cyber ​​Consequences Unit, Johna Bumgarnera. Wymagało to przeanalizowania wielu danych zebranych podczas ataków i później. Dane zawierały dzienniki serwerów od różnych zainteresowanych stron, z których część nie dzieliłaby się informacjami ze sobą, powiedział Scott Borg, dyrektor i główny ekonomista instytutu.

Rosja rozpoczęła pięciodniową kampanię wojskową w sierpniu 2008 roku, która odpowiadała z próbami Gruzji zapewnienia większej kontroli nad regionami Południowej Osetii i Abchazji, które mają silne powiązania z Rosją. Bombowce uderzyły w cele w całym kraju, a jednocześnie gruzińskie media i strony rządowe padły ofiarą ataku DDOS.

To nie jest przypadek. Ataki zostały przeprowadzone z wydajnością, która wskazywała na planowanie wstępne, a cyberataki również poprzedziły pierwsze doniesienia o rosyjskiej interwencji wojskowej, zgodnie z raportem.

"Wiele cyberataków było tak blisko siebie operacje, które musiały być ścisłą współpracą między ludźmi rosyjskiego wojska i cywilnymi cyberprzestępcami "- czytamy w raporcie. "Wiele działań, które przeprowadzili napastnicy, takich jak rejestrowanie nowych nazw domen i tworzenie nowych stron internetowych, zostało wykonanych tak szybko, że wszystkie kroki musiały zostać wcześniej przygotowane."

Borg powiedział, że instytut jest przekonany, że rosyjski rząd nie przeprowadził bezpośrednich ataków. Jest jednak oczywiste, że Rosja wykorzystywała nacjonalistów cywilnych, którzy byli gotowi podjąć cyber-akcje, być może z niewielką pomocą.

"Wygląda na to, że inwazja wojskowa uwzględniała pomoc, jaką mieli otrzymać … przez cyberatak ", powiedział Borg.

Nie jest jednak jasne, na jakim poziomie interakcje między rosyjskimi urzędnikami państwowymi a tymi, którzy dokonali ataków, miały miejsce. Wygląda jednak na to, że luźna koordynacja prawdopodobnie stanie się od teraz standardową procedurą operacyjną Rosji, powiedział Borg.

Zaatakowano ogółem 54 witryny sieci Web, z których większość nie skorzystałaby z rosyjskiej kampanii wojskowej, Powiedział Borg. Zamykając media i strony rządowe, Gruzji trudniej było informować społeczeństwo o tym, co się dzieje. Transakcje finansowe zostały zakłócone, a Narodowy Bank Gruzji musiał odciąć połączenie internetowe na 10 dni, zgodnie z raportem.

Serwisy społecznościowe pomogły rekrutować wolontariuszy, którzy wymieniają się wskazówkami na forach internetowych w języku rosyjskim, z jednym językiem angielskim forum prowadzone w San Francisco, czytamy w raporcie. W atakach wykorzystano także serwery komputerów, które były używane w przeszłości do hostowania złośliwego oprogramowania przez rosyjskie gangi przestępcze.

"Wydaje się, że rosyjskie organizacje przestępcze nie starały się ukryć swojego zaangażowania w cyberprzestępczą kampanię przeciwko Gruzji, ponieważ chciały aby ubiegać się o kredyt ", napisano w raporcie.

Ataki DDOS polegają na bombardowaniu witryny sieci Web zbyt dużą liczbą żądań stron, co powoduje, że staje się ona niedostępna z powodu problemów związanych z przepustowością, chyba że zostaną podjęte środki bezpieczeństwa. Atak jest wykonywany przez botnet lub sieć komputerów, które zostają zainfekowane złośliwym kodem kontrolowanym przez hakera.

Kod służący do dowodzenia tymi maszynami w celu zaatakowania stron internetowych wydawał się być dostosowany specjalnie do kampanii w Gruzji, raport powiedział. Trzy z używanych programów zostały zaprojektowane do testowania witryn sieci Web w celu sprawdzenia, z jakim natężeniem ruchu mogą sobie poradzić.

Czwarty program został pierwotnie zaprojektowany w celu dodania funkcji do witryn sieci Web, ale został zmieniony przez hakerów w celu żądania nieistniejących stron internetowych. To narzędzie, które jest oparte na HTTP, okazało się skuteczniejsze niż ataki oparte na protokole ICMP (Internet Control Message Protocol) stosowane przeciwko Estonii w 2007 r.

Dalsze dowody pokazały, że Gruzja mogła trafić znacznie trudniej. Część krytycznej infrastruktury Gruzji była dostępna przez Internet. Podczas gdy cywilni cyberataki mieli oznaki sporej wiedzy, "gdyby rosyjskie wojsko zdecydowało się bezpośrednio zaangażować, takie ataki byłyby w zasięgu ich możliwości", czytamy w raporcie.

"Fakt, że fizycznie destrukcyjne cyberataki nie były przeprowadzone przeciwko gruzińskim przemysłem infrastruktury krytycznej sugeruje, że ktoś po stronie rosyjskiej wywierał znaczne ograniczenia ", napisano.