Georgia Cyberattacken im Zusammenhang mit der russischen organisierten Kriminalität

Die Cyberangriffe Gegen Georgien wurde vor einem Jahr in enger Verbindung mit russischen Verbrecherbanden geführt, und die Angreifer dürften nach einer neuen technischen Analyse, die weitgehend geheim bleibt, einen Hinweis auf Russlands Absicht, in das Land einzumarschieren, geben.

Die beeindruckenden Schlussfolgerungen kommen von der US Cyber ​​Consequences Unit, einem unabhängigen Non-Profit-Forschungsinstitut, das die Auswirkungen von Cyber-Angriffen bewertet. Eine 100-seitige technische Analyse wird nur der US-Regierung und einigen Cybersicherheitsprofis zur Verfügung gestellt, aber die Organisation veröffentlichte am frühen Montag eine Neun-Seiten-Zusammenfassung.

Der Bericht bestätigt teilweise den Verdacht von Beobachtern, die theoretisierten dass die verteilten Denial-of-Service-Attacken (DDOS), die viele georgische Websites lahmlegten, ihre Wurzeln in Russland hatten.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Der Bericht wurde hauptsächlich erstellt durch Untersuchungen des CTO der US Cyber ​​Consequences Unit, John Bumgarner. Es beinhaltete die Analyse einer Reihe von Daten, die während und nach den Angriffen gesammelt wurden. Die Daten enthalten Server-Protokolle von einer Vielzahl von Interessengruppen, von denen einige Informationen nicht miteinander teilen würden, sagte Scott Borg, Direktor und Chefökonom des Instituts.

Russland startete eine fünftägige militärische Kampagne im August 2008, die korrespondierte mit den Versuchen Georgiens, eine größere Kontrolle über die Regionen Südossetien und Abchasien, die eng mit Russland verbunden sind, zu erreichen. Bomber trafen Ziele im ganzen Land, und zur gleichen Zeit fielen georgische Medien und Regierungsseiten unter DDOS-Angriffe.

Dieser Zeitpunkt scheint kein Zufall zu sein. Die Angriffe wurden mit einer Effizienz durchgeführt, die auf eine Vorplanung hindeutete, und den Cyber-Angriffen gingen laut dem Bericht auch die ersten Nachrichten über Russlands militärische Intervention voraus.

"Viele der Cyberangriffe waren dem entsprechenden Militär zeitlich so nahe Operationen, die eine enge Zusammenarbeit zwischen Menschen im russischen Militär und den zivilen Cyber-Angreifern erfordern ", heißt es in dem Bericht. "Viele der Aktionen der Angreifer, wie die Registrierung neuer Domainnamen und die Einrichtung neuer Websites, wurden so schnell durchgeführt, dass alle Schritte früher vorbereitet werden mussten."

Borg sagte, dass das Institut davon überzeugt sei Die russische Regierung hat die Angriffe nicht direkt ausgeführt. Aber es ist klar, dass Russland zivilen Nationalisten, die bereit waren, Cyber-Maßnahmen zu ergreifen, vielleicht mit einer geringen Ermutigung, Hilfe verlieh.

"Es scheint, dass die militärische Invasion die Hilfe, die sie erhalten wollten, berücksichtigte … durch den Cyberangriff ", sagte Borg.

Es ist jedoch nicht klar, auf welcher Ebene die Interaktion zwischen russischen Regierungsbeamten und denen, die die Angriffe ausgeführt haben, stattgefunden hat. Aber es scheint, dass die lockere Koordination von nun an Teil des russischen Standardverfahrens werden wird, sagte Borg.

Insgesamt wurden 54 Webseiten angegriffen, von denen die meisten der russischen Militärkampagne zugute gekommen wären, weil sie nicht funktionierten. Sagte Borg. Durch die Schließung von Medien- und Regierungsseiten war es für Georgien schwieriger, der Öffentlichkeit zu vermitteln, was vor sich ging. Finanztransaktionen wurden unterbrochen, und die Nationalbank von Georgien musste laut dem Bericht ihre Internetverbindung 10 Tage lang abbrechen.

Social-Networking-Sites halfen bei der Rekrutierung von Freiwilligen, die Tipps in Online-Foren auf Russisch mit einer englischen Sprache austauschten Forum in San Francisco gehostet, sagte der Bericht. Computer-Server, die in der Vergangenheit dazu benutzt wurden, bösartige Software von russischen kriminellen Banden zu hosten, wurden ebenfalls bei den Angriffen eingesetzt.

"Es scheint, dass russische kriminelle Organisationen ihre Beteiligung an der Cyber-Kampagne gegen Georgien nicht verschwiegen haben um es in Anspruch zu nehmen ", heißt es in dem Bericht.

DDOS-Angriffe funktionieren, indem sie eine Website mit zu vielen Seitenanforderungen bombardieren, was dazu führt, dass sie aufgrund von Bandbreitenproblemen nicht verfügbar ist, sofern keine Sicherheitsmaßnahmen getroffen werden. Der Angriff wird von einem Botnet oder einem Netzwerk von PCs ausgeführt, die mit bösartigem Code infiziert werden, der von einem Hacker kontrolliert wird.

Der Code, mit dem diese Maschinen befohlen werden, die Websites anzugreifen, wurde speziell für die Georgia - Kampagne angepasst Bericht sagte. Drei der verwendeten Softwareprogramme wurden entwickelt, um Websites zu testen, wie viel Datenverkehr sie verarbeiten können.

Ein viertes Programm wurde ursprünglich entwickelt, um Funktionen zu Websites hinzuzufügen, wurde aber von den Hackern geändert, um nicht vorhandene Webseiten anzufordern. Dieses Tool, das HTTP-basiert ist, erwies sich als effizienter als die ICMP-basierten (Internet Control Message Protocol) Angriffe gegen Estland im Jahr 2007, heißt es in dem Bericht.

Weitere Beweise zeigten, dass Georgien viel stärker getroffen hätte werden können. Ein Teil der kritischen Infrastruktur Georgiens war über das Internet zugänglich. Während die zivilen Cyber-Angreifer Anzeichen beträchtlicher Sachkenntnis hätten, "wenn das russische Militär sich entschieden hätte, direkt involviert zu sein, wären solche Angriffe gut in ihren Fähigkeiten gewesen", hieß es in dem Bericht.

"Die Tatsache, dass physisch zerstörerische Cyberangriffe es nicht waren gegen georgische Kritische Infrastrukturindustrien durchgeführt, deutet darauf hin, dass jemand auf der russischen Seite erhebliche Einschränkungen ausübte ", sagte er.