Кибератаки во время русско-грузинской войны - Cyberattacks during the Russo-Georgian War

Вовремя Русско-грузинская война серия кибератаки заболоченные и отключенные веб-сайты многочисленных Южноосетинский, Грузинский, русский и Азербайджанский организации. Атаки были инициированы за три недели до начала перестрелки, что считается «первым случаем в истории скоординированной атаки домена киберпространства, синхронизированного с крупными боевыми действиями в других областях ведения боевых действий (состоящих из земли, воздуха, моря и космоса). . "[1]

Атаки

20 июля 2008 года, за несколько недель до российского вторжения в Грузию, компьютеры-зомби уже атаковали Грузию.[2][3] Сайт президента Грузии Михаил Саакашвили был нацелен, что привело к перегрузке сайта. В трафике, направленном на сайт, присутствовала фраза «win + love + in + Rusia». Затем сайт был отключен на 24 часа.[4][5]

5 августа 2008 г. на сайтах Информационное агентство ОСИнформ и OSRadio были взломаны. Сайт OSinform на osinform.ru сохранил заголовок и логотип, но его содержание было заменено содержанием сайта Alania TV. Телеканал Alania TV, поддерживаемый правительством Грузии, ориентированный на аудиторию в Южной Осетии, отрицал свою причастность к взлому веб-сайта конкурирующего информационного агентства. Дмитрий Медоев, югоосетинский посланник к Москва, утверждал, что Грузия пыталась скрыть гибель 29 грузинских военнослужащих во время вспышки 1 и 2 августа.[6]

5 августа Трубопровод Баку – Тбилиси – Джейхан подвергся теракту возле Refahiye в индюк, ответственность за которую изначально взяла на себя Рабочая партия Курдистана (РПК), но есть косвенные улики что это была изощренная компьютерная атака на системы контроля и безопасности линии, которая привела к увеличению давления и взрыву.[7]

По словам исследователя Джарта Армина, с конца 7 августа 2008 года многие интернет-серверы Грузии находились под внешним контролем.[8] 8 августа количество DDoS-атак достигло пика, и начались дефейсы.[9]

Как сообщается, 9 августа 2008 года ключевые участки грузинского интернет-трафика были перенаправлены через серверы, расположенные в России и Турции, где трафик был либо заблокирован, либо перенаправлен. Русский и турецкий серверы якобы контролировались российскими хакерами. Позже в тот же день сетевые администраторы в Германии смогли временно перенаправить часть грузинского интернет-трафика непосредственно на серверы Deutsche Telekom AG. Однако через несколько часов трафик снова был перенаправлен на московские серверы.[8][10]

10 августа 2008 г. РИА Новости Сайт информационного агентства был отключен на несколько часов в результате серии атак. Максим Кузнецов, руководитель ИТ-отдела агентства, заявил: «DNS-серверы и сам сайт подверглись серьезной атаке».[11]

10 августа Джарт Армин предупредил, что грузинские сайты, которые были в сети, могли быть поддельными. «Будьте осторожны с любыми веб-сайтами, которые появляются из официального источника Джорджии, но не содержат каких-либо последних новостей [например, от субботы, 9 августа, или воскресенья, 10 августа], поскольку они могут быть мошенническими», - сказал он.[8][10]

К 11 августа 2008 г. веб-сайт президента Грузии был искажен, и изображения, сравнивающие президента Саакашвили с Адольф Гитлер были размещены. Это был пример кибервойны в сочетании с PSYOP.[9] Сайт парламента Грузии также подвергся атаке.[9][8][12] Атаке подверглись и некоторые грузинские коммерческие сайты.[10][8][12] 11 августа Грузия обвинила Россию в ведении кибервойны на сайтах правительства Грузии одновременно с военным наступлением. В заявлении Министерства иностранных дел Грузии говорится: «Российская кампания кибервойны серьезно нарушает работу многих грузинских веб-сайтов, в том числе сайта Министерства иностранных дел». Представитель Кремля отверг обвинение и заявил: «Напротив, ряд интернет-сайтов, принадлежащих российским СМИ и официальным организациям, стали жертвами согласованных хакерских атак».[13] Министерство иностранных дел создало блог в сервисе Google Blogger в качестве временного сайта. Сайт президента Грузии перенесен на серверы США.[9][12] Веб-сайт Национального банка Грузии в какой-то момент был испорчен, и на нем были размещены изображения диктаторов 20-го века и президента Грузии Саакашвили.[2] Веб-сайт парламента Грузии был испорчен «командой хакеров Южной Осетии», а контент был заменен изображениями, сравнивающими президента Саакашвили и Гитлера.[12]

Эстония предложил хостинг для правительственного сайта Грузии и советников по киберзащите.[14][3] Однако представитель Эстонского центра развития государственных информационных систем заявил, что Грузия не обращалась за помощью. «Это будет решать правительство», - сказал он.[10] Сообщалось, что русские бомбили телекоммуникационную инфраструктуру Грузии, включая вышки сотовой связи.[14] Частные компании США также помогали грузинскому правительству защитить свою невоенную информацию, такую ​​как платежная ведомость правительства, во время конфликта.[15]

Российские хакеры атаковали также серверы азербайджанского информационного агентства Day.Az. Причина - позиция Day.Az в освещении российско-грузинского конфликта.[16] Атаке подвергся также один из ведущих новостных сайтов Азербайджана ANS.az.[17] Во время войны российские спецслужбы также отключили информационные сайты Грузии.[16] Грузинский новостной сайт Гражданская Грузия переключили свои операции на один из доменов Google Blogspot.[14] Несмотря на кибератаки, грузинским журналистам удалось рассказать о войне. Многие профессионалы СМИ и гражданские журналисты создают блоги, чтобы освещать войну или комментировать ее.[18][19]

Барак Обама, кандидат в президенты США потребовал от России прекратить интернет-атаки, а также соблюдать режим прекращения огня на местах.[10] Президент Польши, Лех Качиньский, заявил, что Россия блокирует грузинские "интернет-порталы" в дополнение к своей военной агрессии. Он предложил Грузии собственный веб-сайт для помощи в «распространении информации».[12] Репортеры без границ осудил нарушения свободы информации в Интернете с момента начала военных действий между Грузией и Россией. «Интернет стал полем битвы, первой жертвой которого является информация», - говорится в сообщении.[17]

В атаках участвовали Атаки отказа в обслуживании.[2][12][17] Нью-Йорк Таймс сообщил 12 августа, что, по мнению некоторых экспертов, это был первый случай в истории, когда известная кибератака совпала с перестрелкой. 12 августа атаки продолжились, контролируемые программами, размещенными в хостинговых центрах, контролируемых российской телекоммуникационной компанией. Русскоязычный сайт stopgeorgia.ru продолжал работать и предлагать программное обеспечение для атак типа «отказ в обслуживании».[2]

RT 12 августа сообщила, что в предыдущие 24 часа ее сайт подвергся атаке. Специалисты по безопасности заявили, что первым злоумышленником был IP-адрес, зарегистрированный в столице Грузии Тбилиси.[20]

14 августа 2008 года сообщалось, что, хотя было достигнуто прекращение огня, основные грузинские серверы все еще не работали, что мешало общению в Грузии.[19]

Анализ

В Правительство России отверг обвинения в том, что они стояли за нападениями, заявив, что, возможно, «люди в России или где-либо еще взяли на себя ответственность за нападения».[2] Некоторые источники предполагают, что Санкт-Петербург преступная группировка, известная как Российская Деловая Сеть (RBN) стоял за многими из этих кибератак.[8][9][10][2][21] RBN считался среди мира худших спамеров, детской порнографии, вредоносных программ, фишинга и киберпреступности хостинг сетей. Считается, что лидер и создатель RBN, известный как Флайман, является племянником влиятельного российского политика с хорошими связями.[22]

Данчо Данчев, болгарский аналитик по интернет-безопасности заявил, что российские атаки на грузинские веб-сайты использовали «все факторы успеха для полного аутсорсинга пропускной способности и юридической ответственности перед среднестатистическим интернет-пользователем».[9]

Хосе Назарио, исследователь безопасности Arbor Networks, рассказал CNET что он видел доказательства того, что Грузия ответила на кибератаки, атаковав по крайней мере один сайт газеты в Москве.[23]

Дон Джексон, директор по анализу угроз SecureWorks, фирмы по компьютерной безопасности, базирующейся в Атланте, отметил, что в преддверии войны в минувшие выходные компьютерные исследователи наблюдали, как ботнеты были "организованы" для подготовки к атаке, а затем активизировался незадолго до начала российских авиаударов 9 августа.[2] По словам Джексона, это подтвердило идею о том, что за атакой действительно стоит российское правительство, а не RBN.[24] Более того, Джексон обнаружил, что не все компьютеры, атаковавшие грузинские веб-сайты, находились на серверах RBN, но также и на «интернет-адресах, принадлежащих государственным телекоммуникационным компаниям в России».[24]

Гади Эврон, бывший глава израильского Группа реагирования на компьютерные чрезвычайные ситуации, считает, что атаки на грузинскую интернет-инфраструктуру напоминают кибер-бунт, а не кибервойну. Эврон признал, что атаки могли быть «косвенными российскими (военными) действиями», но указал, что злоумышленники «могли атаковать больше стратегических целей или уничтожить инфраструктуру (грузинского Интернета) кинетически». Shadowserver зарегистрировал шесть разных ботнеты участвуют в атаках, каждая из которых контролируется отдельным командным сервером.[25]

Джонатан Зиттрейн, соучредитель Гарвардского центра Беркмана по Интернету и обществу, сказал, что у российских военных определенно были средства для атаки на интернет-инфраструктуру Грузии. Билл Вудкок, директор по исследованиям в Packet Clearing House, калифорнийской некоммерческой группе, которая отслеживает тенденции в области безопасности в Интернете, сказал, что эти атаки носили маркировку «обученных и централизованно скоординированных кадров профессионалов». Российские хакеры также обрушили российскую газету Skandaly.ru якобы за выражение прогрузинских настроений. «Это был первый случай, когда они атаковали внутреннюю и внешнюю цели в рамках одной атаки», - сказал Вудкок. Гэри Уорнер, эксперт по киберпреступности из Университета Алабамы в Бирмингеме, сказал, что он обнаружил «копии сценария атаки» (использованного против Джорджии) вместе с инструкциями по применению, размещенными в разделе комментариев читателей внизу практически каждой статьи. в российских СМИ.[3] Билл Вудкок также сказал, что кибератаки настолько дешевы и просты в проведении, с небольшим количеством отпечатков пальцев, что они почти наверняка останутся характерной чертой современной войны.[2]

Экономист написал, что любой, кто желает принять участие в кибератаке на Грузию, может сделать это из любого места с подключением к Интернету, посетив один из пророссийских веб-сайтов и загрузив программное обеспечение и инструкции, необходимые для выполнения распределенного атака отказа в обслуживании (DDoS) атака. Один веб-сайт под названием StopGeorgia предоставил утилиту под названием DoSHTTP, а также список целей, в том числе правительственные учреждения Грузии и посольства Великобритании и США в Тбилиси. Для запуска атаки просто нужно было ввести адрес и нажать кнопку «Начать флуд». На сайте StopGeorgia также указано, какие целевые сайты все еще активны, а какие закрылись. На других веб-сайтах объяснялось, как писать простые программы для отправки потока запросов, или предлагались специально отформатированные веб-страницы, которые можно было настроить на многократную перезагрузку, забивая определенные грузинские веб-сайты трафиком. Не было убедительных доказательств того, что теракты были осуществлены или санкционированы российским правительством, а также не было доказательств того, что оно пыталось их остановить.[26]

В марте 2009 г. исследователи безопасности из Greylogic пришли к выводу, что Россия ГРУ и ФСБ вероятно, сыграли ключевую роль в координации и организации атак. Форум Stopgeorgia.ru стал прикрытием для государственных атак.[27]

Джон Бамгарнер, член Отдела кибер-последствий США (США-CCU) провел исследование кибератак во время русско-грузинской войны. В отчете сделан вывод, что кибератаки на Грузию, организованные российскими хакерами в 2008 году, продемонстрировали необходимость международного сотрудничества в области безопасности. В сообщении говорилось, что организаторам кибератак было известно о военных планах России, но предполагалось, что сами нападавшие были гражданскими лицами. Исследование Бумгарнера пришло к выводу, что первая волна кибератак на сайты грузинских СМИ соответствовала тактике, используемой в военных действиях.[28] «Большинство инструментов кибератак, используемых в кампании, похоже, были написаны или адаптированы в некоторой степени специально для кампании против Грузии», - говорится в исследовании. Несмотря на то, что кибератаки, похоже, заранее уведомили о вторжении и воспользовались тесным сотрудничеством со стороны государственных учреждений, не было обнаружено никаких отпечатков пальцев, напрямую связывающих атаки с российским правительством или вооруженными силами.[29]

Смотрите также

Рекомендации

  1. ^ Холлис, Дэвид (6 января 2011 г.). «Пример кибервойны: Грузия 2008» (PDF). Журнал Small Wars.
  2. ^ а б c d е ж грамм час Марков, Джон (12 августа 2008 г.). "Перед стрельбой, кибератаки". Нью-Йорк Таймс.
  3. ^ а б c Вентворт, Трэвис (23 августа 2008 г.). «Как Россия могла атаковать грузинский интернет». Newsweek.
  4. ^ Данчо Данчев (22 июля 2008 г.). «Сайт президента Грузии подвергся DDoS-атаке со стороны российских хакеров». ZDNet.
  5. ^ «Сайт президента Грузии подвергся DDOS-атаке». Computerworld. 21 июля 2008 г.
  6. ^ "Осетинские новостные сайты взломаны". Гражданская Грузия. 5 августа 2008 г.
  7. ^ Джордан Робертсон; Майкл Райли (10 декабря 2014 г.). «Загадочный взрыв трубопровода в Турции в 2008 году открыл новую эру кибервойны». Bloomberg.com.
  8. ^ а б c d е ж Кейзер, Грегг (11 августа 2008 г.). «Кибератаки лишают Грузии интернет-присутствия». Компьютерный мир.
  9. ^ а б c d е ж Данчев, Данчо (11 августа 2008 г.). «Скоординированная кибератака Россия против Грузии продолжается». ZDNet.
  10. ^ а б c d е ж «Грузия: Россия ведет кибервойну'". Телеграф. 11 августа 2008 г.
  11. ^ «РИА Новости подверглось кибератакам в связи с разгорающимся конфликтом с Грузией». РИА Новости. 10 августа 2008 г. В архиве из оригинала от 12 августа 2008 г.
  12. ^ а б c d е ж Ашер Моисей (12 августа 2008 г.). «Грузинские веб-сайты вынуждены отключаться в результате кибервойны'". Sydney Morning Herald. В архиве из оригинала 14 сентября 2008 г.
  13. ^ «Грузия заявляет, что российские хакеры блокируют правительственные сайты». Рейтер. 11 августа 2008 г.
  14. ^ а б c "Эстония, Google Help" Cyberlocked "Georgia (обновлено)". 11 августа 2008 г.
  15. ^ Стивен Корнс и Джошуа Э. Кастенберг, Кибер-левый крючок Джорджии, Параметры: Журнал Военного колледжа армии (2008), 59-64
  16. ^ а б «Российские спецслужбы предприняли масштабную атаку на сервер Day.Az». Today.az. 11 августа 2008 г.
  17. ^ а б c «Российские и грузинские сайты становятся жертвами войны, которая ведется как в Интернете, так и на местах». Репортеры без границ. 13 августа 2008 г. Архивировано с оригинал на 2014-07-14.
  18. ^ «Грузия: региональные репортеры». Глобальные голоса. 24 августа 2008 г.
  19. ^ а б «В кибервойне России и Грузии меняются давние боевые линии». Вашингтон Пост. 14 августа 2008 г.
  20. ^ «RT атаковали». RT. 12 августа 2008. Архивировано с оригинал 12 августа 2008 г.
  21. ^ "Компьютеры в штатах Джорджия подверглись кибератаке". Журнал "Уолл Стрит. 12 августа 2008 г.
  22. ^ «Охота на российских интернет-преступников». Возраст. 13 декабря 2007 г.
  23. ^ «Россия и Грузия продолжают атаки - онлайн». CNET. 12 августа 2008 г.
  24. ^ а б «Эксперт: Кибератаки на веб-сайты Грузии, связанные с мафией, правительством России». Блоги LA Times - Технологии. 2008-08-13. Получено 2020-11-17.
  25. ^ «Маловероятно, что русские взломали Грузию, хотя атаки носили политический характер | Блог Cyber ​​Talk Шимона Шевеша». www.cybertalkblog.co.uk. Получено 2017-04-16.
  26. ^ «Маршируем в кибервойну». Экономист. 4 декабря 2008 г. В архиве из оригинала от 6 мая 2009 г.
  27. ^ Лейден, Джон (23 марта 2009 г.). «Российские шпионские агентства связаны с грузинскими кибератаками». Реестр.
  28. ^ Брайан Принс (18 августа 2009 г.). «Кибератаки на Грузию свидетельствуют о необходимости международного сотрудничества, сообщает Report». eWeek.
  29. ^ Марк Резерфорд (18 августа 2009 г.). «Отчет: кибератаки с российской мафией на Грузию». CNET.

внешняя ссылка