Грузинские кибератаки, связанные с организованной преступностью в России

Кибератаки против Грузии год назад были проведены в тесной связи с российскими преступными группировками, и нападавшие, вероятно, были опротестованы о намерении России вторгнуться в страну, согласно новому техническому анализу, большая часть которого остается секретной.

Поразительные выводы приходят из подразделения Cyber ​​Consequences в США, независимого некоммерческого научно-исследовательского института, который оценивает влияние кибератак. 100-страничный технический анализ предоставляется только правительству США и некоторым специалистам по кибербезопасности, но организация выпустила девятистраничный свод в начале понедельника.

Отчет частично подтверждает некоторые подозрения наблюдателей, которые теоретизировали что распределенные атак типа «отказ в обслуживании» (DDOS), которые искалечили многие грузинские веб-сайты, уходят своими корнями в Россию.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Отчет был главным образом подготовлен через исследования, проведенные техническим директором подразделения кибербезопасности США Джона Бумгарнера. Это включало анализ плота данных, собранных по мере того, как атаки продолжались и впоследствии. Данные включали журналы сервера от различных заинтересованных сторон, некоторые из которых не делились информацией друг с другом, сказал Скотт Борг, директор и главный экономист института.

В августе 2008 года Россия начала пятидневную военную кампанию, которая соответствовала с попытками Грузии усилить контроль над регионами Южной Осетии и Абхазии, которые имеют прочные связи с Россией. Бомбардировщики поразили цели по всей стране, и в то же время грузинские СМИ и правительственные сайты подверглись DDOS-атаке.

Это время не кажется совпадением. Согласно сообщениям, атаки были выполнены с эффективностью, которая указывала на предварительную планировку, и кибератаки также предшествовали первым новостям военной интервенции России.

«Многие из кибератак были настолько близки к соответствующим военным что необходимо было тесное сотрудничество между людьми в российских вооруженных силах и гражданскими кибератаками », - говорится в докладе. «Многие действия, совершенные злоумышленниками, такие как регистрация новых доменных имен и размещение новых веб-сайтов, были выполнены так быстро, что все шаги должны были быть подготовлены раньше».

Борг сказал, что институт уверен, что российское правительство не осуществляло прямых атак. Но ясно, что Россия, по-видимому, использовала гражданских националистов, которые были готовы предпринять кибер-действия, возможно, с некоторой поддержкой на низком уровне.

«Похоже, что военное вторжение принимало во внимание помощь, которую они собирались получить … кибер-атакой », - сказал Борг.

Однако неясно, на каком уровне произошло взаимодействие между российскими государственными чиновниками и теми, кто совершил эти атаки. Но похоже, что отныне свободная координация, вероятно, станет частью стандартной операционной процедуры России, сказал Борг.

В общей сложности было совершено 54 веб-сайта, большинство из которых выиграли от российской военной кампании, не функционируя, - сказал Борг. Закрывая СМИ и правительственные сайты, Грузии было труднее сообщить общественности, что происходит. Финансовые транзакции были нарушены, и Национальный банк Грузии должен был отключить свое интернет-соединение в течение 10 дней, согласно отчету.

Сайты социальных сетей помогли привлечь добровольцев, которые торгуют советами на онлайн-форумах на русском языке, с одним английским языком форум, размещенный в Сан-Франциско, говорится в докладе.

«Похоже, что российские преступные организации не пытались скрыть свое участие в кибер-кампании против Грузии, потому что они хотели претендовать на кредит », - говорится в отчете.

Атаки DDOS работают путем бомбардировки веб-сайта слишком большим количеством запросов на страницы, что приводит к его недоступности из-за проблем с пропускной способностью, если не будут приняты меры безопасности. Атака выполняется бот-сетом или сетью компьютеров, зараженных вредоносным кодом, управляемым хакером.

Код, используемый для управления этими машинами для атаки на веб-сайты, по-видимому, настроен специально для кампании в Грузии, говорится в сообщении. Три из используемых программных программ были разработаны для тестирования веб-сайтов, чтобы узнать, сколько трафика они могут обрабатывать.

Четвертая программа изначально была предназначена для добавления функций на веб-сайты, но была изменена хакерами для запроса несуществующих веб-страниц. Этот инструмент, основанный на HTTP-протоколе, оказался более эффективным, чем атаки на основе протокола ICMP (Internet Control Message Protocol), применяемые против Эстонии в 2007 году.

Дальнейшие доказательства показали, что Грузия, возможно, пострадала намного сложнее. Некоторая критическая инфраструктура Грузии была доступна через Интернет. В то время как гражданские кибер-атакующие имели признаки значительного опыта, «если бы российские военные решили принять непосредственное участие, такие атаки были бы в пределах своих возможностей», - говорится в докладе.

«Тот факт, что физически разрушительные кибератаки не были проведенная против критически важных инфраструктурных отраслей Грузии, говорит о том, что кто-то с российской стороны испытывает значительные ограничения », - сказано в сообщении.