Georgia Cyberattacks knyttet til russisk organisert kriminalitet

Cyberattacks mot Georgia for et år siden ble gjennomført i nær tilknytning til russiske kriminelle gjenger, og angriperne sannsynligvis ble tippet av om Russlands hensikt å invadere landet, ifølge en ny teknisk analyse, hvorav mange forblir hemmelige.

De fantastiske konklusjonene kommer fra den amerikanske Cyber ​​Consequences Unit, et uavhengig forskningsinstitutt som bedømmer virkningen av cyberangrep. En teknisk analyse på 100 sider blir bare gjort tilgjengelig for den amerikanske regjeringen og noen cybersecurity-fagfolk, men organisasjonen slettet en 9-siders oppsummering tidlig på mandag.

Rapporten delvis bekrefter noen av mistankene til observatører, som teoretiserte at de distribuerte denial-of-service-angrepene (DDOS), som forankret mange georgiske nettsteder, hadde sine røtter i Russland.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Rapporten ble hovedsakelig produsert gjennom undersøkelser av CTO av den amerikanske Cyber ​​Consequences Unit, John Bumgarner. Det involverte å analysere en flotte data samlet som angrepene pågikk og etterpå. Dataene inkluderte serverlogger fra en rekke interessenter, hvorav noen ikke ville dele informasjon med hverandre, sa Scott Borg, direktør og sjeføkonom ved instituttet.

Russland lanserte en fem-dagers militærkampanje i august 2008 som korresponderte med Georgias forsøk på å hevde større kontroll over Sør-Ossetia og Abkhasien, som har sterke bånd til Russland. Bombers slo mål over hele landet, og samtidig falt georgiske medier og regjeringssteder under DDOS-angrep.

Det ser ikke ut som en tilfeldighet. Angrepene ble utført med en effektivitet som indikerte forhåndsplanlegging, og cyberangrepene gikk også foran de første nyhetsshistoriene om Russlands militære inngrep, ifølge rapporten. "

" Mange av cyberangrepene var så nærme til det tilsvarende militære operasjoner som det måtte være et nært samarbeid mellom folk i det russiske militæret og de sivile cyberangrepene, sier rapporten. "Mange av de handlingene som angrepene utførte, for eksempel registrering av nye domenenavn og opprettelse av nye nettsider, ble oppnådd så raskt at alle trinnene måtte utarbeides tidligere."

Borg sa at instituttet er overbevist om at Den russiske regjeringen utførte ikke direkte angrepene. Men det er klart at Russland syntes å utnytte sivile nasjonalister som var klare til å ta cyberhandlinger, kanskje med litt oppmuntring på lavt nivå.

"Det ser ut til at den militære invasjonen tok hensyn til den hjelpen de skulle motta … ved cyberattacken, sa Borg.

Det er imidlertid ikke klart på hvilket nivå samspillet mellom russiske myndigheter og de som utførte angrepene skjedde. Men det ser ut til at den løse koordinasjonen sannsynligvis vil bli en del av Russlands standard operasjonsprosedyre fra nå av, sier Borg.

Totalt ble 54 nettsider angrepet, hvorav de fleste ville ha hatt den russiske militære kampanjen ved å ikke fungere, Borg sa. Ved å stenge ned media og regjeringssteder, var det vanskeligere for Georgia å kommunisere til offentligheten hva som foregikk. Finansielle transaksjoner ble forstyrret, og National Bank of Georgia måtte avbryte sin internettforbindelse i 10 dager, ifølge rapporten.

Sosiale nettverk har hjulpet med å rekruttere frivillige som handlet tips på nettfora på russisk, med ett engelskspråklig forum som er vert i San Francisco, sa rapporten. Datamaskinens servere som tidligere ble brukt til å være vert for skadelig programvare av russiske kriminelle gjenger, ble også brukt i angrepene.

"Det ser ut til at russiske kriminelle organisasjoner ikke gjorde noe for å skjule sitt engasjement i cyberkampanjen mot Georgia fordi de ønsket å kreve kreditt for det, sier rapporten.

DDOS angriper arbeid ved å bombe et nettsted med for mange sideforespørsler, noe som gjør at den blir utilgjengelig på grunn av båndbreddeproblemer med mindre sikkerhetstiltak tas. Angrepet utføres av en botnet eller et nettverk av PCer som blir smittet med ondsinnet kode som kontrolleres av en hacker. Koden som brukes til å beordre disse maskinene for å angripe nettstedene, syntes å være tilpasset spesielt for Georgia-kampanjen, den rapporter sa. Tre av programvarene som ble brukt, ble designet for å teste nettsteder for å se hvor mye trafikk de kan håndtere.

Et fjerde program ble opprinnelig designet for å legge til funksjoner på nettsteder, men ble endret av hackerne for å be om ikke-eksisterende websider. Det verktøyet, som er HTTP-basert, viste seg å være mer effektivt enn de ICMP-baserte (Internet Control Message Protocol) -angrepene som ble brukt mot Estland i 2007, rapporterte rapporten.

Ytterligere bevis viste at Georgia kunne blitt rammet mye vanskeligere. Noen av Georgias kritiske infrastruktur var tilgjengelig over Internett. Mens de sivile cyberangrepene hadde tegn på betydelig kompetanse, "hvis det russiske militæret hadde valgt å bli direkte involvert, ville slike angrep ha vært godt innenfor sine evner," sa rapporten.

"Det faktum at fysisk ødeleggende cyberangrep ikke var utført mot georgisk kritisk infrastrukturindustri antyder at noen på den russiske siden utøvde betydelig begrensning, "sa det.