Georgia Cyberattacksin yhteydessä venäläiseen järjestäytyneeseen rikollisuuteen

Cyberattacks Georgiaa vastaan ​​vuosi sitten järjestettiin läheisessä yhteydessä venäläisiin rikollisjoukkoihin, ja hyökkääjät todennäköisesti ilmoittivat Venäjän aikomuksesta hyökätä maata mukaan uusi tekninen analyysi, josta suurin osa on salaista.

Upeat päätelmät tulevat USA: n Cyber ​​Consequences Unit -yksiköstä, joka on riippumaton voittoa tavoittelematon tutkimuslaitos, joka arvioi tietoverkkohyökkäysten vaikutuksia. 100 sivun tekninen analyysi saa vain Yhdysvaltain hallituksen ja tietyt tietotekniikan ammattilaiset, mutta organisaatio julkaisi varhain maanantaina yhdeksän sivun tiivistelmän.

Osittain mietinnössä vahvistetaan joitain tarkkailijoiden epäilyjä, jotka teoreettivat että haavoittuneet palvelunestohyökkäykset (DDOS), jotka runtelivat monia georgialaisia ​​verkkosivustoja, juonivat juurensa Venäjällä.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Raportti tuotettiin pääasiassa John Bumgarnerin US Cyber ​​Consequences -yksikön CTO: n tutkimusten avulla. Se sisälsi analysoitaessa joukon kerättyjä tietoja, kun hyökkäykset olivat käynnissä ja sen jälkeen. Nämä tiedot sisälsivät eri sidosryhmien palvelinlokit, joista osa ei jakaa tietoja toistensa kanssa, totesi Scott Borg, instituutin johtaja ja pääekonomisti.

Venäjä käynnisti elokuussa 2008 viisivuotisen sotilaskampanjan, joka vastasi Georgian yritykset yrittävät valvoa entistä enemmän Etelä-Ossetian ja Abhasian alueita, joilla on vahvat siteet Venäjään. Pommitukset löivät tavoitteita koko maassa ja samanaikaisesti Georgian tiedotusvälineet ja hallintotilat sijoittuivat DDOS-hyökkäykseen.

Tämä ajoitus ei näytä olevan sattuma. Hyökkäykset toteutettiin hyötysuhteella, joka osoitti esisuunnittelun, ja verkkotahdit myös edeltäneet Venäjän sotilaallisen väliintulon ensimmäisiä uutisia kertomuksen mukaan.

"Monet verkkohyökkäyksistä olivat niin lähellä aikaa vastaaviin sotilaisiin että Venäjän armeijan ja siviiliverkkorikollisten ihmisten välisen läheisen yhteistyön oli oltava ", raportti totesi. "Monet toimista, joita hyökkääjät suorittivat, kuten rekisteröimällä uusia verkkotunnuksia ja asettamalla uusia sivustoja, saatiin niin nopeasti, että kaikki vaiheet oli aikaisemmin valmisteltava."

Borg sanoi, että instituutti on varma siitä, että Venäjän hallitus ei suoraan suorittanut hyökkäyksiä. Mutta on selvää, että Venäjä näytti hyödyntävän siviili-kansallismielisiä, jotka olivat valmiita ryhtymään verkkotoimintaan, ehkä jonkinasteisella alhaisella kannustimella.

"Näyttää siltä, ​​että sotilaallinen hyökkäys otti huomioon avun, jonka he olisivat saaneet … verkkovälittäjänä ", Borg sanoi.

Ei ole kuitenkaan selvää, missä määrin Venäjän hallituksen virkamiesten ja hyökkäysten suorittaneiden välinen vuorovaikutus on tapahtunut. Mutta näyttää siltä, ​​että löyhä koordinointi tulee todennäköisesti osaksi Venäjän vakiotoimintamenettelyä tästä eteenpäin, Borg sanoi.

Yhteensä 54 verkkosivustoa hyökkäsi, joista suurin osa olisi hyötynyt Venäjän sotilaallisesta kampanjasta, koska se ei toiminut, Borg sanoi. Keskeyttämällä tiedotusvälineitä ja hallituksen sivustoja Georgian oli vaikeampi viestiä yleisölle, mitä tapahtui. Rahoitustarkastukset häiriintyi, ja Georgian keskuspankin oli katkaistava Internet-yhteys 10 päivän ajan raportin mukaan.

Sosiaalisen verkostoitumisen sivustot auttoivat rekrytoimaan vapaaehtoisia, jotka myyvät vinkkejä venäläisessä foorumissa, yhdellä englantilaisella kielellä foorumi isännöi San Francisco, raportti sanoi. Hyökkäyksissä käytettiin myös tietokoneiden palvelimia, joita oli aiemmin käytetty venäläisten rikollisjoukkojen haittaohjelmien järjestämiseen.

"Näyttää siltä, ​​että venäläiset rikollisjärjestöt eivät ole yrittäneet salata osallistumistaan ​​cyberkampanjaan Georgiaa vastaan, koska he halusivat vaatia hyvää luottoa ", raportti sanoi.

DDOS-hyökkäykset toimivat pommittavalla verkkosivustolla, jossa on liian monta sivupyyntöä, mikä aiheuttaa sen, että se ei ole käytettävissä kaistanleveysongelmien takia, ellei turvatoimia toteuteta. Hyökkäys suorittaa botnet tai tietokoneverkko, joka saa tartunnan hakkereiden hallitsemasta haitallisesta koodista.

Näitä koneita käsittelevä koodi, joka hyökkäsi verkkosivustoihin, näytti olevan räätälöity erityisesti Georgia-kampanjaan, raportti sanoi. Kolme käytetystä ohjelmistosta on suunniteltu testatakseen Web-sivustoja, kuinka paljon liikennettä he voivat käsitellä.

Neljäs ohjelma oli alun perin suunniteltu lisäämään toimintoja sivustoille, mutta hakkerit muuttivat sitä pyytääkseen olemassa olevia verkkosivuja. Tämä työkalu, joka on HTTP-pohjainen, osoittautui tehokkaammaksi kuin ICMP: n (Internet Control Message Protocol) hyökkäykset, joita käytettiin Viroa vastaan ​​vuonna 2007.

Lisätiedot osoittivat, että Georgiaa olisi voitu lyödä paljon kovemmin. Osa Georgian kriittisestä infrastruktuurista oli saatavilla Internetin kautta. Vaikka siviiliverkkorikollisilla oli merkkejä huomattavasta asiantuntemuksesta, "jos Venäjän armeija olisi päättänyt osallistua suoraan, tällaiset hyökkäykset olisivat olleet hyvin kykeneviä", raportti totesi.

"Se, että fyysisesti tuhoavia verkkokauppoja ei Georgian kriittisten infrastruktuuriteollisuuden alojen mukaan Venäjän puolella on ollut huomattavaa rajoitusta ", hän sanoi.