Georgia-cyberattacker kopplade till rysk organiserad brottslighet

Cyberattackarna mot Georgien för ett år sedan genomfördes i nära anslutning till ryska kriminella gäng, och attackerna troligen tippades om Rysslands avsikt att invadera landet, enligt en ny teknisk analys, varav många fortfarande är hemliga. från den amerikanska Cyber ​​Consequences Unit, ett oberoende ideellt forskningsinstitut som bedömer effekterna av cyberattacker. En teknisk analys på 100 sidor görs bara tillgänglig för den amerikanska regeringen och vissa cybersecurity-proffs, men organisationen släppte en sammanfattning på nio sidor i början av måndagen.

I rapporten bekräftas vissa misstankar av observatörer, som teoretiserade att de distribuerade denial-of-service-attackerna (DDOS), som förknippade många georgiska webbplatser, hade sina rötter i Ryssland.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Rapporten producerades främst genom undersökningar av CTO av den amerikanska Cyber ​​Consequences Unit, John Bumgarner. Det handlade om att analysera en mängd data som samlades in som attackerna pågick och efteråt. Uppgifterna innehöll serverns loggar från en rad olika intressenter, varav några inte skulle dela information med varandra, säger institutets Scott Borg, chef och ekonomichef.

Ryssland lanserade en fem dagars militärkampanj i augusti 2008 som motsvarade med Georgiens försök att hävda större kontroll över Sydossetien och Abchazien, som har starka band med Ryssland. Bombare slog mål över hela landet, och samtidigt föll georgiska medier och regeringstjänster under DDOS-attacken.

Den tidpunkten verkar inte vara en slump. Attackerna utfördes med en effektivitet som indikerade förplanering och cyberattackarna föregick också de första nyhetsberättelserna om Rysslands militära ingrepp, enligt rapporten. "

" "Många av cyberattackerna var så nära tiden till motsvarande militär operationer som det måste finnas ett nära samarbete mellan människor i den ryska militären och de civila cyberangrepparna, säger rapporten. "Många av de åtgärder som attackerna utförde, till exempel registrering av nya domännamn och uppläggning av nya webbplatser, uppnåddes så snabbt att alla steg måste förberedas tidigare."

Borg sa att institutet är övertygat om att Den ryska regeringen utförde inte direkt attackerna. Men det är uppenbart att Ryssland tycktes utnyttja civila nationalister som var beredda att vidta cyberhandlingar, kanske med lite låg uppmuntran. "

" Det verkar som om militärinvasionen tog hänsyn till den hjälp de skulle få … vid cyberattacken, sade Borg.

Det är emellertid inte klart på vilken nivå samspelet mellan ryska regeringstjänstemän och de som utförde attackerna inträffade. Men det verkar som om den lösa samordningen sannolikt kommer att bli en del av Rysslands standardoperation från och med nu, sade Borg.

Totalt angavs 54 webbplatser, varav de flesta hade gynnat den ryska militära kampanjen genom att inte fungera, Borg sa. Genom att stänga media och regeringstjänster var det svårare för Georgien att kommunicera till allmänheten vad som händer. Finansiella transaktioner stördes, och Georgiens centralbank var tvungen att avbryta sin Internetanslutning i 10 dagar, enligt rapporten.

Sociala nätverkssajter hjälpte rekrytera volontärer som handlade tips på onlinefora på ryska, med ett engelskspråkigt forum värd i San Francisco, sade rapporten. Datorservrar som tidigare använts för att vara värd för skadlig programvara av ryska kriminella gäng användes också i attackerna.

"Det verkar som att ryska kriminella organisationer inte gjorde något för att dölja sitt engagemang i cyberkampanjen mot Georgien eftersom de ville att kräva kredit för det ", säger rapporten.

DDOS attackerar arbete genom att bombardera en webbplats med för många sidförfrågningar, vilket gör att den blir otillgänglig på grund av bandbreddsproblem om inte säkerhetsåtgärder vidtas. Anfallet utförs av en botnet eller ett nätverk av datorer som smittas av skadlig kod kontrollerad av en hackare. Koden som användes för att styra dessa maskiner för att attackera webbplatserna verkade anpassas specifikt för Georgien-kampanjen, den rapportera sagt. Tre av de använda programmen var utformade för att testa webbplatser för att se hur mycket trafik de kan hantera.

Ett fjärde program var ursprungligen utformat för att lägga till funktioner på webbplatser men ändrades av hackarna för att begära obefintliga webbsidor. Det verktyget, som är HTTP-baserat, visade sig vara effektivare än de ICMP-baserade (Internet Control Message Protocol) -attackerna som användes mot Estland 2007, rapporterade rapporten.

Ytterligare bevis visade att Georgien kunde ha blivit mycket hårdare. En del av Georgiens kritiska infrastruktur var tillgänglig via Internet. Medan de civila cyberangrepparna hade tecken på stor expertis, "om den ryska militären hade valt att engagera sig direkt skulle sådana attacker ha varit bra inom sina möjligheter", säger rapporten. "Det faktum att fysiskt destruktiva cyberattack inte var utförs mot georgisk kritisk infrastrukturindustri föreslår att någon på den ryska sidan utövar stora hinder, säger den.