Cyberwojna o Gruzję

Mija rok od konfliktu gruzińsko – rosyjskiego, mimo iż powstało wiele opracowań polskojęzycznych na ten temat, chciałbym dorzucić swoich 12 groszy i skupić się na warstwie cyberprzestrzeni. Mimo iż w świecie „realnym” to Gruzja wywołała konflikt, w świecie zerojedynek wygląda to inaczej.

Na długo przed tym jak na Gruzję spadły pierwsze rosyjskie bomby w cyberprzestrzeni bombardowanie trwało na całego już od dłuższego czasu. Mimo iż brak mocnych dowodów, na to że za tymi atakami stoi Rosja i rosyjskie grupy przestępcze, wszystkie poszlaki wskazują właśnie na nie. Fundacja Shadowserver już jakiś czas przed rozpoczęciem działań wojennych zaobserwowała w sieci ataki typu Ddos na gruzińskie serwery. Kulminacja tych działań nastąpiła dopiero po rozpoczęciu konfliktu. Atakowano przede wszystkim serwery rządowe, ale i te nie związane z władzą miały problemy z prawidłowym funkcjonowaniem.
Oto lista atakowanych serwerów:

www.president.gov.ge – strona prezydenta Gruzji
www.mfa.gov.ge -strona Ministerstwa Spraw Zagranicznych (uwaga WOT określił stronę jako niebezpieczną jednak nie miałem z nią kłopotów)
www.saesa.gov.ge – strona Agencji Pomocy Socjalnej i Pracy
www.parliament.gov.ge – strona parlamentu

Jak już wspomniałem brak konkretnych dowodów na to iż za atakiem stoją Rosjanie. Jednakże kilka czynników ataku wskazuje jednoznacznie na nich, a dokładniej grupę o wdzięcznej nazwie Russian Business Network, w obiegu istnieje również FSB Cyber Warriors, która mówi sama za siebie.
20 lipca rozpoczął się pierwszy atak na rządowe strony Gruzji, wśród pakietów zalewających serwery Tbilisi stale powtarzał się słowo „win+love+in+Russia”.
Serwery, które zostały wykorzystane przy ataku zarówno z 20 lipca, jaki i 10 sierpnia były wykorzystywane do tej pory tylko i wyłącznie do przeprowadzenia ataku na Gruzję. Nie wykorzystano ich w innych atakach typu ddos, co nie jest często spotykaną praktyką. Atak z 20 lipca był początkowo koordynowany z serwera zlokalizowanego w Stanach Zjednoczonych, a następnie z serwera z lokalizowanego w Turcji. Tego samego tureckiego serwera użyto w ataku z 10 sierpnia, wspomagały go również serwery zlokalizowane w Rosji.
Co ważne w obydwu przypadkach wykorzystano serwery połączeniowe: 342 RTCOMM (Ru), AS12389 ROSTELECOM (Ru), AS9121 TTNet Autonomous System Turk Telekom (Tk) znajdujące się pod kontrolą crackerów z RBN oraz rządu Rosyjskiego. W wyniku działań RBN udało się również przejąć kontrolę na Gruzińskimi serwerami połączeniowymi.
Ostatnią ważną poszlaką wskazującą na Rosjan jest fakt użycia oprogramowania malware, które najczęściej jest stosowane przez rosyjskich cyberprzestępców.
Oprócz grup przestępczych w ataku brali udział zwykli internauci, rosyjskie fora internetowe były pełne instrukcji w jaki sposób atakować serwery w Gruzji, a na stronie StopGeorgia.ru, mogli wybrać cel ataku, lub obejrzeć jego aktualny status.

(materiał ze strony rbnexploit )


Gruzja w cyberprzestrzeni nie walczyła sama. Na pomoc Gruzińskim serwerom ruszyli przede wszystkim Estończycy i Niemcy (nas należy uwzględnić dla przyzwoitości).
Niemieckim specjalistą z Deutsche Telekom AG na jakiś czas udało się zmienić trasę pakietów atakujących gruzińskie serwery, dzięki czemu byli wstanie powstrzymać atak. Stanu tego nie udało się długo utrzymać, gdyż Rosja cały ruch przekierowała własne serwery. (internetowe okno na świat Gruzji poprowadzi jedynie przez Rosję oraz Turcję). Estonia natomiast przeżucia do Tbilisi dwójkę specjalistów, których zadaniem była pomoc w odparciu cyberataku. Strona Polska natomiast udostępniła stronę president.pl, na której MSZ Gruzji mógł zamieszczać obwieszczenia i komunikaty. Gruzja korzystając z Estońskiego doświadczenia (ataki z 2007) przeniosła część stron informacyjnych na serwisy Google.
Na dzień 14.08.2008 Strona prezydenta działa poprawnie. Była ona umieszczona na serwerze (adres ip 208.75.229.98) znajdującym się w Atlancie w Stanach Zjednoczonych, pod opieką TULIP SYSTEMS, INC. Której szefuje urodzona w Gruzji Nino Doijashvili.
Strona Ministerstwa Spraw Zagranicznych zgłasza się na adresie 212.47.222.163, który można zlokalizować w Talinie w Estoni. A trasa pakietów do tych serwerów omija Rosję i Turcję (Najczęściej nawiązuje się połączanie poprzez Niemieckie i Francuskie serwery, następnie Estonię i dalej do USA w przypadku strony prezydenckiej)
Strona Agencji Pomocy Socjalnej i Pracy jest nadal niedostępna choć sam serwer (62.168.168.9) był uruchomiony i zgłaszał swoją obecność. Z adresu sieciowego wynika, iż znajdował się on na
Al. Rustaveli – głównej ulicy w Tbilisi.
Rosjanie zaprzeczają, że stoją za atakami na serwery Gruzińskie. Zaznaczając, że wraz z atakiem Gruzinów rozpoczął się atak w cyberprzestrzeni. Serwis Cnews.ru informowała o atakach, które miały być przeprowadzone 5.08 i 8.08. Ofiarą ataku typu ddos padły strony:

osinform.ru
cominf.org
osradio.ru

Natomiast 11.08 celem ataku miały paść strony:

lenta.ru,
mk.ru
izvestia.ru

Według rosyjskich analityków w ataku na strony informacyjne Rosji brało udział około 20tys komputerów. A za ataki na strony zarówno Gruzińskie, jak i Rosyjskie odpowiedzialni są crackerzy Ukraińscy. Na potwierdzenie tej tezy jeden z rządowych ekspertów powiedział „u jednych Ukraińców dały o sobie znać rosyjskie korzenie, a u innych pobudki prozachodnie i pro-gruzińskie”. Rosyjska strona do dziś nie przedstawiła, żadnych danych dotyczących ataków. Zachodnie ośrodki badawcze nie zarejestrowały większych ruchów wymierzonych w wyżej wymienione serwisy.

W anglojęzycznym internecie jest sporo dobrze opracowanych materiałów na ten temat, z których pozwoliłem sobie skorzystać:
Shadowserver - dane na temat ataku
rbnexploit - kapitalny blog poświęcony działalności cyberprzestępców między innymi RBN