Georgië Cyberattacks gekoppeld aan de Russische georganiseerde misdaad

De cyberaanvallen tegen Georgië een jaar geleden werden uitgevoerd in nauwe relatie met Russische criminele bendes, en de aanvallers werden waarschijnlijk getipt over de intentie van Rusland om het land binnen te vallen, volgens een nieuwe technische analyse, waarvan een groot deel geheim blijft.

De verbluffende conclusies komen van de Amerikaanse Cyber ​​Consequences Unit, een onafhankelijk non-profit onderzoeksinstituut dat de impact van cyberaanvallen beoordeelt. Een technische analyse van 100 pagina's wordt alleen beschikbaar gesteld aan de Amerikaanse overheid en sommige cyberbeveiligingsprofessionals, maar de organisatie heeft maandag een samenvatting van negen pagina's uitgegeven.

Het rapport bevestigt gedeeltelijk enkele van de vermoedens van waarnemers, die getheoretiseerd hebben dat de distributed denial-of-service attacks (DDOS), die vele Georgische websites beschadigde, zijn oorsprong in Rusland had.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Het rapport werd voornamelijk geproduceerd door onderzoek door de CTO van de Amerikaanse Cyber ​​Consequences Unit, John Bumgarner. Het ging om het analyseren van een reeks gegevens die werden verzameld tijdens de aanslagen en daarna. De gegevens omvatten serverlogboeken van verschillende belanghebbenden, van wie sommigen geen informatie met elkaar zouden delen, zei Scott Borg, directeur en hoofdeconoom van het instituut.

Rusland lanceerde een vijfdaagse militaire campagne in augustus 2008 die overeenkwam met de pogingen van Georgië om meer controle uit te oefenen over de regio's Zuid-Ossetië en Abchazië, die een sterke band met Rusland hebben. Bommenwerpers troffen doelwitten in het hele land, en tegelijkertijd vielen Georgische media en regeringssites onder een DDOS-aanval.

Die timing lijkt geen toeval te zijn. De aanvallen werden uitgevoerd met een efficiëntie die duidde op pre-planning, en de cyberaanvallen gingen ook vooraf aan de eerste nieuwsverhalen van de militaire interventie van Rusland, volgens het rapport.

Veel van de cyberaanvallen waren zo dicht in de buurt van het overeenkomstige leger. operaties dat er een nauwe samenwerking moest zijn tussen mensen in het Russische leger en de civiele cyberaanvallers, "aldus het rapport. "Veel van de acties die de aanvallers hebben uitgevoerd, zoals het registreren van nieuwe domeinnamen en het plaatsen van nieuwe websites, werden zo snel voltooid dat alle stappen eerder moesten worden voorbereid." Borg zei dat het instituut er van overtuigd is dat de Russische regering voerde de aanvallen niet direct uit. Maar het is duidelijk dat Rusland lijkt te profiteren van civiele nationalisten die klaar waren om cyberactie te ondernemen, misschien met enige aanmoediging op laag niveau.

"Het lijkt erop dat de militaire invasie rekening hield met de hulp die ze op het punt stonden te ontvangen … door de cyberaanval, "zei Borg.

Het is echter niet duidelijk op welk niveau de interactie plaatsvond tussen Russische overheidsfunctionarissen en degenen die de aanvallen uitvoerden. Maar het lijkt erop dat de losse coördinatie waarschijnlijk van nu af aan een onderdeel zal worden van Ruslands standaardwerkwijze, zei Borg.

In totaal werden 54 websites aangevallen, waarvan de meeste zouden hebben bijgedragen aan de Russische militaire campagne door niet te functioneren, Zei Borg. Door media en overheidssites te sluiten, was het voor Georgië moeilijker om aan het publiek te communiceren wat er gaande was. Financiële transacties werden verstoord en de National Bank of Georgia moest zijn internetverbinding gedurende 10 dagen afsluiten, aldus het rapport.

Sociale netwerksites hielpen vrijwilligers werven die tips wisselden over online forums in het Russisch, met één Engelstalige forum gehost in San Francisco, aldus het rapport. Computerservers die in het verleden werden gebruikt om kwaadwillende software te hosten door Russische criminele bendes, werden ook gebruikt bij de aanvallen.

"Het lijkt erop dat Russische criminele organisaties geen moeite deden om hun betrokkenheid bij de cybercampagne tegen Georgië te verbergen omdat ze wilden om er de eer aan te geven, "aldus het rapport.

DDOS-aanvallen werken door een website te bombarderen met te veel pagina-aanvragen, waardoor deze niet meer beschikbaar is vanwege bandbreedteproblemen, tenzij beveiligingsmaatregelen worden genomen. De aanval wordt uitgevoerd door een botnet of een netwerk van pc's die worden geïnfecteerd met kwaadaardige code die wordt beheerd door een hacker.

De code die wordt gebruikt om die machines aan te sporen de websites aan te vallen, bleek specifiek te zijn aangepast voor de campagne in Georgië, de rapport gezegd. Drie van de gebruikte softwareprogramma's zijn ontworpen om websites te testen om te zien hoeveel verkeer ze aankunnen.

Een vierde programma was oorspronkelijk ontworpen om functies aan websites toe te voegen, maar werd door de hackers gewijzigd om niet-bestaande webpagina's aan te vragen. Die tool, die op basis van HTTP is, bleek efficiënter dan de ICMP-gebaseerde (Internet Control Message Protocol) -aanvallen die in 2007 tegen Estland werden gebruikt, aldus het rapport. Verder bewijsmateriaal toonde aan dat Georgië veel zwaarder getroffen had kunnen worden. Een deel van de kritieke infrastructuur van Georgië was toegankelijk via internet. Hoewel de cyberaanvallers van burgers tekenen van aanzienlijke deskundigheid hadden, "als het Russische leger ervoor had gekozen om direct betrokken te raken, zouden dergelijke aanvallen ruim binnen hun mogelijkheden zijn geweest", aldus het rapport.

"Het feit dat fysiek destructieve cyberaanvallen niet waren uitgevoerd tegen Georgische kritieke infrastructuurindustrieën suggereert dat iemand aan Russische zijde aanzienlijke beperkingen oplegde, "zei het.