Nowy wirus z Rosji?

Kilka dni temu w globalnej sieci pojawił się nowy wirus o nazwie Spy Eye, jego zadanie to stworzenie armii komputerów zombi. Sytuacja jest o tyle ciekawa,że mało znany do tej pory wirus wypowiedział otwartą wojnę znanemu już od dłuższego czasu botnetowi Zeus. Oprogramowanie Spy Eye wyszukuje maszyn pracujących „pod kontrolą” Zeusa, następnie usuwa całkowicie wirusa, przejmując kontrolę nad komputerem oraz bazą danych zgromadzoną na nim przez Zeusa.

Jak uważają specjaliści, koń trojański, jakim jest Zeus, został stworzony głównie do przechwytywania informacji na temat kont bankowych i numerów kart kredytowych wprowadzanych w komputerze ofiary. Jak na razie specjalistom nie udało się ustalić czy Spy Eye powstał w tym samym celu. Ben Greenbaum specjalista z firmy Symantec uważa, że nowy wirus powstał w Rosji, gdyż pierwsze wersje kodu nowego wirusa były publikowane na rosyjskojęzycznych forach internetowych wykorzystywanych przez cyberprzestępców. Nie jest to pierwsza tego typu wojna pojazdowa w świecie botnetów. Omawiany już wcześniej wirus Storm Worm działał w podobny sposób, przejmując kontrolę nad serwerami zarażonymi wirusem Srizbi.
 

Obecnie ilość komputerów zarażonych przez Spy Eye jest niska, jednak można spodziewać się dynamicznej zmiany tej sytuacji. Szybkiej zmianie może sprzyjać niska cena wirusa na czarnym rynku (500 USD) za wersję podstawową.

Spam w Rsoji - Raport za rok 2009, ogólny obraz sytuacji

Artykuł można również pobrać w formacie pdf. 

Według ocen Laboratorium Kasperskiego dochody rosyjskich spamerów w 2009 r. obniżyły się o 10-15% i wyniosły pomiędzy 160, a 180 mln USD. Dla porównania oblicza się, że w 2008 r. spamerzy z Rosji zarobili od 180 do 200 mln USD. Wyliczenia te powstały na podstawie ceny tego typu usług i średniej ilości spamu „przechwyconej” przez komputery znajdujące się pod opieką Laboratoriów Kasperskiego.

Najmniej zleceń na rozsyłkę reklamy spamerzy mieli w pierwszej połowie ubiegłego roku, szczególnie trudny był kwiecień. Ilość zamówień była na tyle mała (poniżej 30% normy), że właściciele botnetów służących do rozsyłki spamu byli zmuszeni do generowania sztucznego ruchu, by uniknąć zastoju. Najbardziej dochodowe okazały się dla spamerów „programy partnerskie”. W ramach tego modelu firma rozsyłająca niechcianą pocztę otrzymuje część dochodu od reklamowanej usługi. Jeżeli e-mail zawierał np. reklamę sklepu i użytkownik pokusił się o zakup oferowanych towarów, to część utargu tra- fiała w ręce spamerów. Według wyliczeń specjalistów z firmy Kasperski z tego

tytułu pochodziło około 37% dochodu spamerów.

Rosja to również jeden z największych eksporterów spamu, obecnie zajmuje trzecie miejsce na liście krajów najbardziej spamujących. W runecie 72% niechcianych wiadomości zostało napisanych w języku Puszkina, a 20% w języku Szekspira. W 2007 większość niechcianych wiadomości krążących w runecie pochodziło, z samej Rosji, USA i Polski. Większość „firm” świadczących usługi wysyłki spamu to przedsiębiorstwa o ugruntowanej pozycji z pięcioletnim stażem na rynku. Sami spamerzy gwarantują dostarczenie spamu, co jest udokumentowane przez logi z serwera. Zazwyczaj korzystają ze sprawdzonych baz danych, podzielonych na różnego rodzaju kategorię, kraje, regiony, miasta. Ceny rosyjskiego spamu nie są wysokie. Rozsyłka reklamy do kilku milionów adresatów to koszt 4 - 7 tys. rubli. U spamerów również można zakupić bazę adresów. Według cen z 2008 r. baza złożona z 25 600 000 adresów kosztuje około 18 500 rubli. Obecnie na liście 10 największych spamerów znajduje się 3 obywateli FR (Leo Kuwajew / BadCow, Peter Sewera / Peter Lewaszow, Ruslan Ibragimow / send-safe.com), co jest swoistym rekordem.

Władze rosyjskie podejmują próby walki ze spamem, lecz bez skutku. Wraz ze wzrostem liczby internautów równomiernie wzrasta ilość niechcianych reklam. Bezbłędnie sytuację tę skomentowali analitycy Kaspersky Labs w raporcie na temat spamu 2007 r.  Oto jego fragment:

26 stycznia 2007 roku w Rosji przyjęto ustawę o ochronie danych osobowych. Ustawa ta ma na celu między innymi uregulowanie kwestii dotyczących wysyłania materiałów reklamowych za pośrednictwem poczty elektronicznej. Ustawa zawiera następujący punkt:

"Przetwarzanie danych osobowych w celu promocji marketingowej towarów, pracy i usług poprzez bezpośredni kontakt z potencjalnym klientem za pomocą narzędzi komunikacyjnych oraz do celów kampanii politycznej jest dozwolone jedynie pod warunkiem uzyskania wcześniejszej zgody podmiotu danych osobowych. Osoba odpowiedzialna za przetwarzanie danych osobowych musi być w stanie udowodnić, że uzyskała taką zgodę, w przeciwnym razie uzna się, że dane osobowe były przetwarzane bez wcześniejszej zgody podmiotu danych osobowych" 

"O ochronie danych osobowych", Artykuł 15, punkt 1.

W ustawie tej pobrzmiewają echa poprzednio uchwalonego prawa: "O reklamie" (w wersji z 1 lipca 2006 r.)

"Dystrybucja reklamy za pośrednictwem sieci telekomunikacyjnych, w tym z~wykorzystaniem telefonu, faksu oraz komunikacji poprzez telefonię komórkową jest dozwolona jedynie pod warunkiem uzyskania wcześniejszej zgody subskrybenta lub adresata na otrzymywanie reklamy. Osoba dystrybuująca reklamę musi być w stanie udowodnić, że uzyskała taką zgodę, w przeciwnym razie uzna się, że reklama była dystrybuowana bez wcześniejszej zgody subskrybenta lub adresata. Osoba dystrybuująca reklamę będzie zobowiązana do natychmiastowego zaprzestania dystrybucji reklamy skierowanej do osoby, która poprosiła o zaprzestanie dostarczania jej takiej reklamy".

"O reklamie" Artykuł 18, punkt 1.

"W obu przypadkach ustawa mówi o potrzebie wstępnej zgody odbiorcy - w Europie i Stanach Zjednoczonych określanej jako opt-in. Jednak opt-in nie jest wymagany przez prawodawstwo wielu państw europejskich; można zatem powiedzieć, że Rosja przyjęła dość ostre stanowisko wobec spamu. Niestety surowość rosyjskiego prawa rekompensuje fakt, że nie istnieje tam żaden obowiązek przestrzegania prawa. Potwierdziło się to już po raz kolejny - ustawa dotycząca danych osobowych obowiązuje już prawie od roku, mimo to ilość spamu nadal nie zmniejszyła się. Wprost przeciwnie, statystyki pokazują, że ilość spamu nadal rośnie."

Spam w Rosji stanowi problem taki sam jak we wszystkich krajach świata, w których rozpowszechniony jest internet. Jak już wspomniałem, Rosja jest jednym z największych dostarczycieli spamu, co ciekawe ilość ta nie jest wprost proporcjonalna do ilości użytkowników internetu. Dla porównania Chiny (2 miejsce na liście) mają około 338 mln internautów, a Rosja około 40 mln. Co jest całkiem pokaźnym wskaźnikiem produktywności.

RUSSIAN BUSINESS NETWORK - próba ustalenia faktów

Tym razem wyjątkowo zapraszam do zapoznania się z treścią artykułu w formacie pdf, gdyż zamieszczenie na blogu wszystkich przypisów 

i odnośników uczyniło by tekst trudnym w odbiorze. Tekst w formacie pdf można uzyskać klikając na niniejsze ogłoszenie. Życzę miłej lektury.

Federacja Rosyjska nie posiada jeszcze silnie rozwiniętego sektora nowoczesnych technologii, również społeczeństwo rosyjskie nie zajmuje wysokiego miejsca w rankingach najbardziej zinformatyzowanych obywateli świata.Fakt ten nie stroi na przeszkodzie temu, że na liście najgroźniejszych cyberprzestępców świata znajduje się wielu Rosjan. Na taką sytuację składa się kilka czynników: wysoki poziom nauk ścisłych w~rosyjskich szkołach i uczelniach wyższych, „głód informatyczny” wielu crackerów w rozmowach przyznaje, że chcieli się dowiedzieć jak najwięcej o tym w jaki sposób działają systemy. Jednak te dwa czynniki nie dałyby tak „dobrych” rezultatów, gdyby nie swoisty parasol ochronny ze strony państwa.

Niniejszy tekst prezentuje działalność jednej z najpotężniejszych i~najbardziej znanych rosyjskich grup cyberprzestępcach RBN. Artykuł ma za zadanie zaprezentować możliwie szczegółowo i w sposób chronologiczny udokumentowane działania grupy, w związku z tym niektóre akcje, o które podejrzewany jest RBN, nie zostały tu zamieszczone, gdyż nie udało odnaleźć wystarczającej ilości danych potwierdzających daną tezę.

Tekst podejmuje próbę odpowiedzenia na pytania o związki przestępców ze służbami specjalnymi Rosji, a co za tym idzie z samym Kremlem. Oddzielne zagadnienia stanowią konflikty: dyplomatycy z~Estonią w 2007 r. oraz zbrojny z Gruzją w 2008 r. gdyż w obydwóch przypadkach doszło do skomasowanych ataków internetowych ze strony Rosji. Oczywiście w obydwu przypadkach głównym podejrzanym był Russian Business Network.

„Powstali w 2004”, „powstali w 2007”, „na początku byli legalną firmą”, „od początku związani byli  mafią”, „Mają powiązania z władzą”, „opłacają polityków”, „jeden z przywódców grupy to bratanek jednego z wysoko postawionych polityków petersburskich”, „są z Petersburga”, „celowo podszywają się pod Rosjan”. Nie to nie wycinki z prasy brukowej czy portalu plotkarskiego pudelek.pl na temat RBN. Tak prezentuje się analiza informacji zawartych w artykułach poważanych gazet i czasopism z Polski, Wielkiej Brytanii i USA. Bynajmniej powodem takiej niezgodności informacji nie jest fakt złego rzemiosła dziennikarskiego, a tego, że o RBN tak naprawdę wiemy niewiele. Śledzeniem działalności tej grupy zajmuje się kilku specjalistów i organizacji, lecz uwagę swą skupiają oni jedynie na zagadnieniach ściśle technicznych. Jednak wszyscy fachowcy zajmujący się tematyką zabezpieczeń są ze sobą zgodni, RBN to „najgorsi z najgorszych”, a „technologiczne dziwki”, to tylko jedno z łagodniejszych określeń ich działalność, a poprzez podejrzenia o współpracę z Kremlem są również nazywani FSB Cyber Warriors”. Używanie przez specjalistów tak mocnego słownictwa związane jest z szerokim spektrum działalności RBN. Wzasadzie nie ma rodzaju przestępstw informatycznych, jakich nie miałaby ta organizacja na sumieniu. RBN chętnie świadczy usługi każdemu, kto chce za nie zapłacić, a oferta jest bogata: hostowanie śmierociodpornych (bulletproof) stron, koszt około 600 USD miesięcznie, czyli jakieś  pięć razy więcej niż za tradycyjny hosting. Śmiercioodporne strony zakłada się, by być pewnym, że nie znikną one z internetu. Najczęściej treści tam zawarte łamią prawo, prezentują np. dziecięcą pornografię. Dodatkowo w ofercie znaleźć można: narzędzia do przeprowadzania ataków, wynajmowanie botnetów, lub przeprowadzanie ataków DDoS. Włamania, przechowywanie danych – np. skradzionych numerów kont bankowych. i wiele, wiele innych.

Mocny start
Pierwsze ślady działalności tej grupy sięgają 2004 roku, choć jeszcze wtedy nie utarła się jedna nazwa RBN. Przestępcy oferowali program o nazwie „iFramecash” infekował on strony internetowe, by następnie  atakować komputery użytkowników odwiedzających owe strony, o ile komputer nie był zabezpieczony program antywirusowym i firewallem robak wykradał hasła i loginy. Jak podaje w swej analizie VeriSing, kolejne dwa lata, to okres rozszerzania swej działalności, między innymi użyczali swej sieci przestępcom z ROCK GROUP w celu przeprowadzania ataków na klientów banków internetowych, grupa ukradła 150 mln USD.

Rok 2007 dla ludzi z RBN to okres bardzo ciężkiej pracy, pewnie niemal katorżniczej, ale niestety bardzo opłacalnej. Już w styczniu pojawił się Storm worm, koń trojański wykorzystujący dziury dnia zerowego, co pozwalało mu na szybkie rozprzestrzenianie się. Był różnie nazywany przez firmy antywirusowe. Mimo tego słowem kluczem pozostało określenie strom, wynikało to z tego, że przy pierwszym pojawieniu się tego wirusa, był on załączony do e-maili o tytule: burza w Europie zabiła setki osób. Każdy zarażony komputer stawał się żołnierzem w szeregach legendarnego już dziś storm botnetu. Według różnych szacunków wirus mógł zarazić od 1 do 2 milionów komputerów na świecie. Po raz kolejny o grupie zrobiło się szczególnie głośno 21 sierpnia 2007 roku, kiedy to strona Bank of India została zaatakowana przez malware pochodzący z sieci RBN.

Nie tracąc czasu, kilka dni później RBN rozpoczęło sprzedaż zestawu narzędzi służących do przeprowadzania ataków sieciowych. Jak chwalili się sami twórcy oprogramowania ich narzędzie MPack w 45 - 50% przypadków pozwalało na przeprowadzenie skutecznego ataku „out of the box”, czyli od razu po uruchomieniu oprogramowania. Cena nie była wygórowana, w zależności od wersji było to 500 - 1000 USD. W razie potrzeby za dodatkową opłatą można było dostosować pakiet do własnych potrzeb. Przy pomocy tego narzędzia zostało zaatakowanych 10 000 domen, z czego 80% we Włoszech. Zestaw miał bardzo wiele narzędzi pozwalających atakować większość popularnych aplikacji. Adresy IP, z których dokonywano ataków przy pomocy MPack, zostały zebrane i zaprezenowane na blogu Dancho Dancheva, Massive Embedded Web Attack in Italy, wydaje się bezcelowe zamieszczanie ich w poniższym tekście. Jak już wspomniałem, grupa zaczęła rok od wypuszczenia wirusa, który zbierał obfite żniwo, we wrześniu wysłał 2.7 biliona wiadomości e-mail, najprawdopodobniej sukces tego robaka spowodował, że programiści z RBN postanowili stworzyć szereg stron z darmowymi skanerami antywirusowymi. Każdy, kto ściągnął lub przeskanował swój komputer za ich pomocą, powodował automatyczne zarażenie komputera wirusami, gdyż wszystkie te programy tylko udawały programy antywirusowe.

Nie tracąc czasu, cyberprzestępcy z RBN odnaleźli lub pozyskali informację o dziurze występującej w popularnej aplikacji służącej do otwierania dokumentów .pdf, Adobe Reader. Pozwoliło im to przygotować wirusa, który był wysyłany jako spam zawierający plik pdf do otwarcia i w tym przypadku użyto jednego z serwerów połączeniowych (AS 40989) należących do RBN.

Operacja Estonia

Istnieje w Europie niewielki kraj, mający swe problemy, a jednocześnie dumny ze swojego stopnia zinformatyzowania państwa i obywateli. W kraju tym powstaje wiele innowacyjnych projektów, między innymi dzięki ich pomysłowości można bezpłatnie odbywać wideo konferencje z osobami mieszkającymi w najbardziej odległych krajach. W maju 2007 r. władze stolicy owego państwa w ramach odcinania się od komunistycznej przeszłości postanowiły usunąć pomnik żołnierza radzieckiego z centralnego placu miasta.

Przypadek ataku na Estonię (bo o niej mowa) postanowiłem opisać jako ostatnie wydarzenie roku 2007, gdyż był to jeden z pierwszych przypadków cyberwojny w świecie. Oczywiście w wydarzeniu tym nie mogło zabraknąć macek RBN. Jak wiadomo, wszystko zaczęło się od konfliktu dyplomatycznego na linii Tallinn – Moskwa. Jednak w odróżnieniu od wszystkich tego typu sporów, w tym przypadku doszło do zorganizowanego ataku typu DDoS, który praktycznie zmiótł Estonię z powierzchni ziemi. Oczywiście niedawno skazano ``odpowiedzialnego'' za te zajścia człowieka, jednak czy możliwym jest, by jedna osoba dokonała tak dużego ataku? Oczywiście nie. Wystarczy przyjrzeć się statystykom ataku:

Oczywiście nie ma konkretnych dowodów świadczących, że to atak rozpoczął RBN po otrzymaniu zielonego światła od Kremla, jednak w Rosji nie było innej grupy, która mogłaby spowodować tak duży atak. Jak podają specjaliści estońscy, komputery biorące udział w cyberataku zlokalizowane były na całym świecie, dokładnie Estonię atakowało 178 państw. Oczywiście większość jednostkek atakujących pochodziło z bootnetu RBN.

Przy okazji omawiania  rosyjskiego haktywizmu wspomniałem, że atak na Estonię był jednym z jego przejawów. Podczas trwania bombardowania Estonii na forach internetowych można było odnaleźć instrukcje, w jaki sposób można wspomóc atak. Do udziału w atakach przyznała się również organizacja Nasi, jest ona wspierana i finansowana przez władze Rosji. Komisarz tej organizacji Konstantin Gołoskow, przyznał się do organizacji i udziału w cyberataku na Estonię. Jego zdaniem była to forma wyrażenia swej obywatelskiej postawy spowodowana chęciom dania nauczki władzom Estońskim.  W miejscu tym rodzi się pytanie, czy komisarz Naszych jest na tyle niezależny od Kremla, by decydować o czymś więcej niż ustawieniu paprotki we własnym gabinecie? Czy organizacja ta zrzesza na tyle dużo specjalistów komputerowych, by zorganizować tak duży atak? O ile na odpowiedź na pierwsze pytanie może być tylko luźną dywagacją o tyle na kolejne już nie. Jedyną możliwością byłoby wykupienie takiej usługi, przy tej skali trudności kosztowałaby ona zapewne powyżej 1000 euro dziennie (typowy atak to koszt 100 USD za dzień), "Nasi” raczej nie cierpią na brak finansów. Pozostaje jeszcze jedna interesująca kwestia. W ilu krajach na świecie człowiek przyznający się do popełnienia przestępstwa, chodziłby wolno po ulicach bez wszczętego postępowania wyjaśniającego?

Duże pieniądze preferują ciszę

Pewnego listopadowego wieczoru, wielu specjalistów wgapiając się w swe monitory zadawało sobie pytanie, czy aby nie przyszedł ten moment, w którym człowiek powinien zrobić sobie chwilę przerwy. Cała sieć RBN zniknęła. Nie był to pierwszy tego typy przypadek, ale pierwszy, kiedy sieć przestępcza zamilkła na długo. Przerwa nie była wynikiem działań policji, powstała na skutek ciężkiej pracy RBN. O ich działalności w świecie robiło się coraz głośniej i chciano o nich wiedzieć coraz więcej. A branża, w której pracowali nie lubi rozgłosu. RBN potrzebował czasu na reorganizację.  W 2007, mimo tego, iż przedstawiciele RBN twierdzili, że to, co piszą o nich specjaliści od bezpieczeństwa w internecie to jedynie zbiory domysłów (guesswork) o organizacji coraz więcej widziano. Postaram się przedstawić fakty, które udało się ustalić specjalistom. Poniższy rysunek  nie jest dziełem malarza abstrakcjonisty, prezentuje on przepływ szkodliwego oprogramowanie pomiędzy serwerami RBN i sieciami zewnętrznymi. Do sieci RBN należało 2090 domen hostowanych na 406 serwerach.

Według rbnexploit.blogspot.com, RBN składał się z trzech głównych działów: Globalnego – trudniącego się hostowaniem stron, działu sprzedaży – wirusy, skrypty, exploity, zestawy takie jak opisywany MPack, systemu autonomicznego – który można określić jako sieć będąca pod kontrolą RBN, pokrywała ona całą Rosję, część krajów skandynawskich.

Podobny w swej topologi, lecz znacznie bardziej rozbudowany schemat zaprezentował D. Bizeul w swym stadium poświęconym RBN.

Kolor szary oznacza trzon RBN. Na czele organizacji stoi człowiek posługujący się nickiem flyman znany cyberprzestępca, związany z dziecięcą pornografią, uważa się że posiada bardzo dobre koneksje polityczne. Jego bezpośrednimi podwładnymi są: Stepan Kuczerenko – prawdopodobnie jeden z liderów, odpowiadający za sprawy techniczne, bardzo prawdopodobnym jest, że posiada koneksje w firmie telekomunikacyjnej Peterstar, co ułatwia im dobry dostęp do internetu. Mikołaj Iwanow –Na niego zarejestrowanych było większość stron związanych z RBN (rbnnetwork.com), odpowiada za wsparcie techniczne, kontakty, w mailach podpisuje się Tim Jarret. Niestety dla D. Bizeula, pozostali członkowie tego departamentu pozostali anonimowi. Pod wydział ten przypadają systemy autonomiczne AKIMON, RBN, Nevacom.

Dział hostingu zajmuje się zamieszczaniem stron w internecie. Za dział ten opowiadają: Aleks Bakchtiarow alias Władimir Kuzniecow – odpowiada między innymi za rejestrację domen. Władimir Kuzniecow – właściciel wielu domen, według iDefense jest ściśle związany z RockPhish Group, o której już wspominałem. Dział łączności (telekom) odpowiada za sprawy techniczne związane podłączeniem z internetem. Podlegają im AS Silvement i SBtel zapewniające podłączenie do Petersburskiego neutralnego węzła wymiany ruchu IP (SPB-IX) połączonego z Moskiewskim punktem (MSK-IX). Dział Serwises, zajmuje się zwyczajnym hostingiem. Siedziba RBN została zlokalizowana pod adresem

12 Lewaszowskij Prospekt. 197110 Petersburg.

 Znajduje się tam budynek widoczny na zdjęciu.

Powyżej został zaprezentowany schemat (ostatni rysunek) infekcji. Użytkownik, wchodząc na stronę będącą pod kontrolą RBN i jednocześnie przeprowadzającą ataki, poprzez lokalnego dostarczyciela internetu łączy się z polskim węzłem wymiany IP, który łączy się z moskiewskim będącym pod kontrolą RBN tak samo, jak petersburski, dalej pakiety kierowane są na konkretne serwery RBN, gdzie następuje zarażenie komputera.

RBN --- Przebudzenie

RBN ponownie pojawiło się tuż przed nowym rokiem w grudniu 2007, Z nową wersją robaka Storm, tym razem w wersji noworocznej i świątecznej. W bardzo krótkim czasie zaraził milion komputerów, próbował atakować przez blogowy system google, blogspot.com, jednak Google szybko zareagowało i wszystkie blogi dokonujące ataku zostały oflagowane (ostrzeżenie o treści), również adresy, z których rozpowszechniane było szkodliwe oprogramowanie zostały wpisane na czarną listę. W 2008 RBN nadal świadczył swe usługi śmiercioodpornego hostingu. Skorzystała z tej usługi między innymi rosyjska grupa nazistów Prawicowe Centrum 1488. umieszczając własną stronę 1944.ru na serwerze RBN. Obecnie stronie nie zawiera treści, a system WOT ostrzega, że służy do przeprowadzania ataków malware. Jeżeli skorzystać z usług robtex.com, to zobaczymy, że obecnie strona ta zarejestrowana jest w Panamie – tam gidzie większość stron RBN.

Operacja Gruzja - to już nie ćwiczenia, to wojna

Konflikt zbrojny pomiędzy Gruzją a Federacją Rosyjską nie był zaskoczeniem dla nikogo, kto na bieżąco przyglądał się wydarzeniom, jakie miały miejsce w tamtym rejonie. Już na długo przed pierwszymi strzałami, jakie padły podczas tej wojny, Ośrodek Studiów Wschodnich ostrzegał o możliwości takiego scenariusza. Również obserwatorzy działań cyberprzestępców w internecie przeczuwali, że coś się święci.
W czerwcu rosyjscy cyberprzestępcy przeprowadzili pierwsze DDoS ataki na stronę prezydenta Gruzji. O tym, że nie były to działania aktywistów świadczy fakt bardzo dobrej organizacji ataku. Oprócz przeprowadzania ataków, uniemożliwiających dostęp do strony prezydenckiej, crackerom udało się przełamać zabezpieczenia serwera i umieścić na prezydenckiej stronie zdjęcia porównujące Michała Saakaszwilego do Hitlera.

O tym, że wybuch wojny gruzińsko rosyjskiej nie był dla ludzi z RBN zaskoczeniem, może świadczyć fakt, że byli oni do niego doskonale przygotowani. Po pierwsze wirus, który posłużył do stworzenia sieci bootnet atakującej Gruzję, był wykrywalny tylko przez 4 programy antywirusowe.

Dodatkowo wraz z wybuchem wojny pojawiły się dwie strony internetowe (stopgeorgia.ru i stopgeorgia.info, rysunek poniżej) z instrukcjami krok po kroku, w jaki sposób atakować gruzińskie serwery, z listą celów i ich statusem. Strony zamieszczone były na serwerach należących do ściśle współpracującej z RBN grupy przestępczej z USA – Atrivo.

Dodatkowo w runecie rozpowszechniana była uproszczona instrukcja w jaki sposub można atakować serwery Gruźińskie, oczywiście duże portale jak Yandex.ru, czy gazeta kommersant.ru natychmiast kasowały podobne wpisy, mimo wszystko można było się natknąć na niemal wszędzie. Rysunek poniżej przedstawia wariant instrukcji.

Działalność haktywistów to na pewno jakiś procent całego ataku, trzeba pamiętać, że naród rosyjski był zszokowany postępowaniem Gruzinów. Jednak haktywiści nie posiadali środków technicznych do przeprowadzenia tak udanego ataku. Proponuję więc przyjrzeć się działaniom RBN.

Gruzińskie internetowe okno na świat prowadzi przez Rosję i Turcję. Dzięki temu RBNowi udało się pokierować w taki sposób atakami DDoS, że Gruzja całkowicie została odcięta od globalnej sieci. Schemat połączeń serwerów został zaprezentowany na rysunkach 9 i 10. Powyższe rysunki przedstawiają połączenia pomiędzy konkretnymi serwerami autonomicznymi. Na czerwono zostały oznaczone te, które znajdowały się pod kontrolą RBN w chwili ataku na Gruzję. Trzy znajdowały się w Rosji, a jeden w Turcji (AS9121 TTNet). Na zielono zostały zaznaczone serwery Gruzińskie, Jak widać, są one otoczone przez serwery kontrolowane przez RBN, Gruzja została niemalże odcięta od internetu. Specjalistom z Deutsche Telekom, udało się na kilka godzin połączyć Gruzję zresztą świata, przez serwer zlokalizowany w Azerbejdżanie. Działania DT zostały zaznaczone na niebiesko, był to jedyny okres, kiedy gruzińskie strony były dostępne.

O zorganizowanie cyberataku podejrzewa się Aleksandra Bykowa i Andreja Smirnowa. Bykow jest powiązany z atakami sprzed wybuchu konfliktu zbrojnego – otóż organizacja Spamhaus przypisuje mu działalność na zakresie IP 79.135.167.0/24.

a ataki te prowadzone były z adresu 79.135.167.22.

RBN nie tylko prowadził działanie przeciwko Gruzji, ale i wykorzystywał konflikt do rozprzestrzeniania własnych wirusów. Przestępcy wysyłali spam, zawierający wstrząsające zdjęcia i filmy z linii frontu prezentujące barbarzyństwo gruzińskich żołnierzy. Otworzenie pliku powodowało zarażenie komputera

Konflikt na Kaukazie to niewątpliwie sukces RBN, przewyższający swą skalą nawet atak na Estonię. Oczywiście, można było  łatwiej odciąć Gruzję od Internetu, wystarczyło zbombardować serwery znajdujące się w centrum Tbilisi na al. Rustaweli. Ale wtedy nie można było, by zdobyć jakże nieocenionego doświadczenia w prowadzeniu wojny elektronicznej.

Początek końca ?

Po wojnie z Gruzją cyberprzestępcom nie układało się już wszystko tak dobrze. W USA rozbito grupę Atrivo, a w listopadzie udało się zlikwidować grupę McColo, która odpowiadała między innymi, za znaczną ilość spamu w~globalnej sieci. Na rysunku poniżej  zobrazowano przepływ spamu w globalnej sieci, przed i po zamknięciu serwerów organizacji.

 

 Zniknięcie, dwóch tak dużych organizacji, zdaniem CERT Polska, było spowodowane, zmianą sposobu myślenia dostawców usług, wcześniej uważali oni, że jedynie udostępniają łącza, nie może interesować ich treść przesyłana nimi. To na szczęście się zmieniło. Jednak nie dotyczyło RBN bezpośrednio. Bardzo możliwe, że  stracili współpracowników, czy część klientów, jednak sama organizacja nadal działa i się rozwija. W 2009 otworzyła nowy śmiercioodporny hosting na Litwie. Problemy innych grup zdają się ich nie dotyczyć, a tajemnicze zniknięcie w końcu 2007 roku część specjalistów odczytuje jako przerwę techniczną związaną z przeniesieniem części działalności do Chin, kraju, w którym crackerzy ''nie atakujący swoich`` mogą czuć się bezpiecznie.

Rozmyty obraz

Jak wspomniałem, na samym początku opisywanie działań RBN, to stąpanie bo bardzo kruchym lodzie, łatwo postawić krok w niewłaściwym miejscu i utonąć, dlatego niektóre fakty prawdopodobnie związane z działalnością RBN nie zostały tu zamieszczone, gdyż nie udało się odnaleźć chociażby poszlak potwierdzających je. Podobnie nie ma żadnego potwierdzenia powiązań Flymana z polityką, nawet nie wiemy, kim jest domniemany mózg RBN. Nie ulega jednak wątpliwości, że działania cyberprzestępców są w Rosji tolerowane, potwierdzą to sami hakerzy w anonimowych rozmowach z dziennikarzami. Działalność przychylnych Kremlowi crackerów to pewnego rodzaju symbioza. Kreml jest zadowolony, bo wskazuje cele ataku, pozostając w białych rękawiczkach – adresy ip atakujących wskazują na crackerów, a nie na rządową instytucję co doprowadziłoby niechybnie od skandalu. Crackerzy są zadowoleni, gdyż mogą robić to, co kochają najbardziej, będąc pewnymi, że nikt nie zapuka do drzwi. Oczywiście czasami może być potrzebna jakaś polityczna ofiara, ale to i tak niska cena. Trudno udowodnić, że grupy cyberprzestępców mają powiązania z FSB, na pewno służby specjalne starają się penetrować te środowiska. Ale gdyby takich kontaktów nie było, to czy działania RBN były by tak dobrze skordynowane z działaniami wojska? Trzeba pamiętać, że zawód ''cyberprzestępca`` to niezwykle ciężki kawałek chleba. To godziny spędzone przy komputerze, w poszukiwaniu dziur, pisaniu wirusów, nie da się działać w tej sferze z dnia na dzień w przypływie inwencji. Czy osoby tak ciężko pracujące oddawałyby charytatywnie owoc swej pracy?

O ile w incydencie Estońskim brak przekonywujących dowodów na działalność RBN, większość specjalistów wskazuje na fakt, iż ataki te były słabo skoordynowane ze sobą, to już w przypadku Gruzji ilość dowodów jest wystarczająca. W niedawno opublikowanym raporcie firmy McAfee wysuwana jest hipoteza, iż incydent ten można zakwalifikować jako cyberuderzenie wymierzone w Gruzińską infrastrukturę teleinformatyczną ściśle skoordynowane z działaniami wojska.
Nie należy jednak zapominać, że powstały również poważne opracowania, takie jak chociażby raport CCDCOE (jednostka NATO) który przekonuje, iż brak ostatecznych dowodów świadczących o tym, że ataki na Gruzję były inspirowane przez władze Rosji.

Zjawisko Rosyjskiego Haktywizmu

Całość tekstu można pobrać w formie PDF - zapraszam

Pewnego październikowego poranka 1989 r. pracowników uruchomiających komputery pracujące w sieciach HEPnet i NASA SPAN przywitał taki oto ekran:

Był to jeden z pierwszych ataków haktywistów. - Hakerów, którzy wykorzystali swą wiedzę i umiejętności, by zaprotestować przeciwko broni atomowej. Haktywizm, to połączenie dwóch słów hacker i activism, termin ten określa osobę wykorzystującą swe umiejętności, by przedstawić swój polityczny punkt widzenia świata. Jednak z biegiem lat termin ten zaczął się rozszerzać i można odnieść wrażenie, że jeszcze nie przybrał swej ostatecznej definicji. Początkowo termin ten odnosił jedynie do specjalistów, lecz obecnie można nim określić grupę ludzi nieposiadających żadnych zdolności i wiedzy informatycznej, podejmujących działania mające na celu manifestację poglądów poprzez czynne uczestniczenie w ataku internetowym lub podejmujących inne czynności mające na celu uzyskanie konkretnego zaburzenia prawidłowego działania sieci czy systemów operacyjnych. Zazwyczaj odbywa się to poprzez wykonywanie instrukcji lub instalację programów przygotowanych przez organizatorów akcji. Często jednak bywa tak, że bardzo trudno o dokonanie osądu, czy dany atak był dziełem crackera, czy cyberaktywistów. Otóż crackerzy i hakerzy bardzo często wykorzystują wojny do podnoszenia swych umiejętności, było tak między innymi podczas Operacji Pustynna Burza, kiedy to hakerzy z państw koalicyjnych mogli bezkarnie atakować irackie systemy informatyczne.

Już od dłuższego czasu można obserwować tendencje to przenoszenia się konfliktów zbrojnych i dyplomatycznych do sieci internet. Podczas konfliktu Kosowskiego w 1998 roku, serwery NATO zostały zaatakowane przez belgradzkich hakerów. Kolejnym przejawem haktywizmu był konflikt dyplomatyczny rosyjsko -- estoński w 2007 roku, kiedy to w wyniku działań rosyjskich crackerów i internautów Estonia została wymazana z internetowej mapy Europy. Oczywiście przejawy haktywizmu nie muszą mieć wyłącznie podłoża politycznego, czasami mogą być wyrazem solidaryzowania się z jakąś ideą np. wolność słowa, czy protest przeciwko łamanu praw człowieka. Praktycznie na całym świecie niemal codziennie można napotkać na ślady haktywizmu, jednak niewiele jest krajów, takich jak Rosja w których ta forma działalności spotkałaby się z wielką przychylnością władz i organów siłowych.

Ciężko określić, kiedy zjawisko to wystąpiło po raz pierwszy w Rosji. Według Andreia Soldatowa pierwsza akcja rosyjskich haktywistów miała miejsce w 2002 roku, kiedy to grupa studentów tomskiego uniwersytetu kilkukrotnie zaatakowała serwer kavkazcenter (Strona ta jest oceniona przez system WOT jako niebezpieczna, stało się tak na skutek treści zawartych na neij) (strona ta bardzo często jest atakowana przez rosyjskich hackerów). Jak już wspomniałem bardzo trudno określić czy dany atak podpada pod omawianą kategorię, np. w 1999 r. w związku z wojną czeczeńską zostały zaatakowane serwery ITAR-TASS. Mimo wszystko nie tak ważna jest chronologia wydarzeń ile reakcja władz rosyjskich na nie. Po ataku na kavkazcenter.net w 2002 r. szef Tomskiego wydziału FSB stwierdził, że atak był wyrażeniem obywatelskiej postawy wobec terrorystów czeczeńskich. Kavkazcenter.net, to portal prowadzony w kilku językach jednocześnie, informuje on o poczynaniach kremla na Kaukazie, swą działalność rozpoczął w 1999 r. informował wtedy o wojnie czeczeńskiej. Jest to medium niezależne od Moskwy, prezentujące punkt widzenia kaukaskich ekstremistów, bojowników czeczeńskich i terrorystów islamskich. Taki stan rzeczy powoduje, że portal jest znienawidzony zarówno przez władze Rosji, jak i przeważającą cześć narodu rosyjskiego. Portal przez jakiś czas działał na serwerze zlokalizowanym na Litwie, jednak w 2004 po żądaniu Rosji zamknięcia go, przeniósł się do Szwecji, która oddalała wszelkie prośby o zamknięcie strony. w 2004 r. gdy serwer kavkazcenter znajdował się już w szwedzkiej sieci, po raz kolejny aktywiści rosyjscy dokonali ataku i pomimo protestu i żądania wyjaśnień ze strony Szweckiej MSW Rosji ograniczyło się do zamieszczenia informacji, że nie zamierza podejmować, jakichkolwiek akcji, które miałyby na celu przerwanie ataku na serwis. Kilka dni później Radio Swoboda i Echo Moskwy przeżyły podobny atak.

W 2005 roku w historii rosyjskiego haktywizmu nastąpiła nowa jakość. Powstała grupa - Obywatelski Anty-terror (Гражданский антитеррор - anticenter.org). Jej działalność to nie tylko ataki na strony związane z czeczeńskimi bojownikami i terrorystami, ale przede wszystkim koordynacja działań w internecie i przygotowywanie szczegółowych instrukcji, dla przeciętnych internautów, którzy zgadzali się z hasłami Obywatelskiego Anty-terroru i chcieli brać udział w jego działaniach. Organizacja ta specjalizowała się w tworzeniu Ddos ataków. Internauta, który chciał wziąć udział w ataku, mógł na ich stronach przeczytać między innymi następującą poradę:

Jeżeli korzystasz z Windows 2000/XP, wciśnij start, uruchom, wpisz cmd (zatwierdź enterem), pojawi się czarny ekran, przelej polecenie: ping chechenpress.org -t -l 5000

Wpisanie takiej komendy powodowało zalanie serwera zapytaniem (parametr ``-t'' do póki urzytkownik nie przerwie operacji parametr ``-l'' to wielkość wysyłanego pakietu z pytaniem). Po pewnym czasie na żądanie firmy hostującej informacje o sposobach dokonywania ataku zostały zdjęte, rozpoczęto natomiast ich dystrybucję na forach internetowych. Tego typu ataków w Rosji jest bardzo dużo, najczęściej atakowane są strony partii i organizacji przeciwnych obecnej władzy. Zazwyczaj nie dochodzi do zatrzymania sprawców. Jednak największymi „dokonaniami” Rosyjskiego haktywizmu jak do tej pory pozostają atak na Estonię w 2007 r. na Litwę w lipcu 2008, Gruzję w sierpniu 2008. We wszystkich tych przypadkach, haktywistom udało się całkowicie sparaliżować sieci informatyczne w tych krajach, choć stanowili oni zazwyczaj jedynie część składową całego ataku, który organizowany był przez profesjonalnych przestępców.

Haktywizm w Rosji jest popularny. Owszem jest i na całym świecie, jednak w Rosji przybrał bardzo ciekawą formę. Jeżeli wszędzie na świcie ataki tego typu są zazwyczaj wymierzane przeciwko poczynaniom rządu, tak w Rosji dziwnym trafem służą one interesom Kremla. Dziwi również fakt totalnej bezkarności organizatorów tych przestępstw. Wiele poszlak wskazuje na to, iż służby specjalne Rosji (zresztą jak każde tego typy instytucje na świecie) interesują się hakerami i crackerami. Istnieją nawet pogłoski, że FSB, składa takim osobom „propozycję nie do odrzucenia:

damy Ci spokój, o ile nie będziesz szkodził naszym i będziesz robił to, co Ci każemy

. Tezę tę zdaje się potwierdzać dobór atakowanych celów wspomnianych już wyżej związanych konfliktem na Kaukazie, czy konfliktami dyplomatycznymi lub zbrojnymi jak to miało miejsce w przypadku Gruzji, ale i wydarzenia ostatnich dni, kiedy 2 sierpnia 2009 roku, dwa potężne światowe serwisy społecznościowe i jeden rosyjski serwis blogowy zostały zablokowane w rezultacie Ddos ataku. Jedna z hipotez brzmi, że stało się tak w wyniku działalności Gruzina używającego nicku Cuxumu. Prowadził on na tych trzech portalach blogi informujące o konflikcie gruzińsko - rosyjskim i ktoś postanowił wyłączyć je na kilka godzin. Teoria może wydawać się nieco na wyrost i trzeba czekać na wyniki śledztwa, jednak za tą hipotezą przemawia fakt, że ataku dokonano na dwa dni przed pierwszą rocznicą wojny i to, że zorganizowanie tak dużego ataku wymaga ogromnych nakładów pracy, niełatwo zablokować serwery o tak dużej mocy jakimi operują owe portale, a crakerzy raczej nie prowadzą akcji charytatywnych. Innego dowodu na istnienie takiej sytuacji dostarcza również A. Sałdatow w swym artykule poświęconym specsłużbom i środowiskom hakerskim. Przytacza on tam historie pewnego cyberaktywisty Antona, który pewnego dnia odbył interesująca i rozmowę z człowiekiem przestawiającym się jako pracownik Narodowego Centrum Zwalczania Terroryzmu, do zadań którego należy również zwalczanie cyberterroryzmu. Wszystko przeszłoby bez echa, gdyby nie to, że osoba wypytująca Antona o różne szczegóły ataku nie miała w zupełności pojęcia o podstawom słownictwie dotyczącego zagadnień sieci komputerowych.

Obserwując działania Federacji Rosyjskiej i wsłuchując się w wypowiedzi urzędników, odnosi się wrażenie, że Rosja coraz lepiej przygotowana jest do cyberwojny, coraz częściej sięga po wywieranie presji poprzez ataki internetowe. Działania te pozwalają uzyskać konkretne cele polityczne w białych rękawiczkach, gdyż nie ma możliwości uzyskania mocnego dowodu inspirowania ataku przez rząd. Podczas wspomnianego bombardowania Estonii na forach internetowych można było odnaleźć instrukcje, w jaki sposób można wspomóc atak. Do przygotowania atakaku przyznała się organizacja Nasi, jest ona wspierana i finansowana przez władze Rosji. Komisarz tej organizacji Konstantin Gołoskow, oficjalnie potwierdził, że był organizatorem i sam brał czynny udział w cyberataku na Estonię. Jego zdaniem była to forma wyrażenia swej obywatelskiej postawy spowodowana chęciom dania nauczki władzą Estońskim.

W miejscu tym rodzi się pytanie, czy komisarz Naszych jest na tyle niezależny od Kremla, by decydować o czymś więcej niż ustawieniu paprotki we własnym gabinecie? Czy organizacja ta zrzesza na tyle dużo specjalistów komputerowych, by zorganizować tak duży atak? O ile na odpowiedź na pierwsze pytanie może być tylko luźną dywagacją o tyle na kolejne już nie. Jedyną możliwością byłoby wykupienie takiej usługi, przy tej skali trudności kosztowałaby ona zapewne powyżej 1000 euro dziennie (typowy atak to koszt 100 USD za dzień), lecz „Nasi” chyba raczej nie cierpią na brak finansów. Pozostaje jeszcze jedna interesująca kwestia. W ilu krajach na świecie człowiek przyznający się do popełnienia przestępstwa, chodziłby wolno po ulicach bez wszczętego postępowania wyjaśniającego?

Jako uzupełnienie tekstu proponuję przeczytać dwa polskojęzyczne artykuły:

J. Woźniczko-Czeczott Hakerzy w służbie Kremla, Przekrój

P. Stanisławsk E-wojna już trwa ,Przekrój.pl

Cyberwojna o Gruzję

Mija rok od konfliktu gruzińsko – rosyjskiego, mimo iż powstało wiele opracowań polskojęzycznych na ten temat, chciałbym dorzucić swoich 12 groszy i skupić się na warstwie cyberprzestrzeni. Mimo iż w świecie „realnym” to Gruzja wywołała konflikt, w świecie zerojedynek wygląda to inaczej.

Na długo przed tym jak na Gruzję spadły pierwsze rosyjskie bomby w cyberprzestrzeni bombardowanie trwało na całego już od dłuższego czasu. Mimo iż brak mocnych dowodów, na to że za tymi atakami stoi Rosja i rosyjskie grupy przestępcze, wszystkie poszlaki wskazują właśnie na nie. Fundacja Shadowserver już jakiś czas przed rozpoczęciem działań wojennych zaobserwowała w sieci ataki typu Ddos na gruzińskie serwery. Kulminacja tych działań nastąpiła dopiero po rozpoczęciu konfliktu. Atakowano przede wszystkim serwery rządowe, ale i te nie związane z władzą miały problemy z prawidłowym funkcjonowaniem.
Oto lista atakowanych serwerów:

www.president.gov.ge – strona prezydenta Gruzji
www.mfa.gov.ge -strona Ministerstwa Spraw Zagranicznych (uwaga WOT określił stronę jako niebezpieczną jednak nie miałem z nią kłopotów)
www.saesa.gov.ge – strona Agencji Pomocy Socjalnej i Pracy
www.parliament.gov.ge – strona parlamentu

Jak już wspomniałem brak konkretnych dowodów na to iż za atakiem stoją Rosjanie. Jednakże kilka czynników ataku wskazuje jednoznacznie na nich, a dokładniej grupę o wdzięcznej nazwie Russian Business Network, w obiegu istnieje również FSB Cyber Warriors, która mówi sama za siebie.
20 lipca rozpoczął się pierwszy atak na rządowe strony Gruzji, wśród pakietów zalewających serwery Tbilisi stale powtarzał się słowo „win+love+in+Russia”.
Serwery, które zostały wykorzystane przy ataku zarówno z 20 lipca, jaki i 10 sierpnia były wykorzystywane do tej pory tylko i wyłącznie do przeprowadzenia ataku na Gruzję. Nie wykorzystano ich w innych atakach typu ddos, co nie jest często spotykaną praktyką. Atak z 20 lipca był początkowo koordynowany z serwera zlokalizowanego w Stanach Zjednoczonych, a następnie z serwera z lokalizowanego w Turcji. Tego samego tureckiego serwera użyto w ataku z 10 sierpnia, wspomagały go również serwery zlokalizowane w Rosji.
Co ważne w obydwu przypadkach wykorzystano serwery połączeniowe: 342 RTCOMM (Ru), AS12389 ROSTELECOM (Ru), AS9121 TTNet Autonomous System Turk Telekom (Tk) znajdujące się pod kontrolą crackerów z RBN oraz rządu Rosyjskiego. W wyniku działań RBN udało się również przejąć kontrolę na Gruzińskimi serwerami połączeniowymi.
Ostatnią ważną poszlaką wskazującą na Rosjan jest fakt użycia oprogramowania malware, które najczęściej jest stosowane przez rosyjskich cyberprzestępców.
Oprócz grup przestępczych w ataku brali udział zwykli internauci, rosyjskie fora internetowe były pełne instrukcji w jaki sposób atakować serwery w Gruzji, a na stronie StopGeorgia.ru, mogli wybrać cel ataku, lub obejrzeć jego aktualny status.

(materiał ze strony rbnexploit )


Gruzja w cyberprzestrzeni nie walczyła sama. Na pomoc Gruzińskim serwerom ruszyli przede wszystkim Estończycy i Niemcy (nas należy uwzględnić dla przyzwoitości).
Niemieckim specjalistą z Deutsche Telekom AG na jakiś czas udało się zmienić trasę pakietów atakujących gruzińskie serwery, dzięki czemu byli wstanie powstrzymać atak. Stanu tego nie udało się długo utrzymać, gdyż Rosja cały ruch przekierowała własne serwery. (internetowe okno na świat Gruzji poprowadzi jedynie przez Rosję oraz Turcję). Estonia natomiast przeżucia do Tbilisi dwójkę specjalistów, których zadaniem była pomoc w odparciu cyberataku. Strona Polska natomiast udostępniła stronę president.pl, na której MSZ Gruzji mógł zamieszczać obwieszczenia i komunikaty. Gruzja korzystając z Estońskiego doświadczenia (ataki z 2007) przeniosła część stron informacyjnych na serwisy Google.
Na dzień 14.08.2008 Strona prezydenta działa poprawnie. Była ona umieszczona na serwerze (adres ip 208.75.229.98) znajdującym się w Atlancie w Stanach Zjednoczonych, pod opieką TULIP SYSTEMS, INC. Której szefuje urodzona w Gruzji Nino Doijashvili.
Strona Ministerstwa Spraw Zagranicznych zgłasza się na adresie 212.47.222.163, który można zlokalizować w Talinie w Estoni. A trasa pakietów do tych serwerów omija Rosję i Turcję (Najczęściej nawiązuje się połączanie poprzez Niemieckie i Francuskie serwery, następnie Estonię i dalej do USA w przypadku strony prezydenckiej)
Strona Agencji Pomocy Socjalnej i Pracy jest nadal niedostępna choć sam serwer (62.168.168.9) był uruchomiony i zgłaszał swoją obecność. Z adresu sieciowego wynika, iż znajdował się on na
Al. Rustaveli – głównej ulicy w Tbilisi.
Rosjanie zaprzeczają, że stoją za atakami na serwery Gruzińskie. Zaznaczając, że wraz z atakiem Gruzinów rozpoczął się atak w cyberprzestrzeni. Serwis Cnews.ru informowała o atakach, które miały być przeprowadzone 5.08 i 8.08. Ofiarą ataku typu ddos padły strony:

osinform.ru
cominf.org
osradio.ru

Natomiast 11.08 celem ataku miały paść strony:

lenta.ru,
mk.ru
izvestia.ru

Według rosyjskich analityków w ataku na strony informacyjne Rosji brało udział około 20tys komputerów. A za ataki na strony zarówno Gruzińskie, jak i Rosyjskie odpowiedzialni są crackerzy Ukraińscy. Na potwierdzenie tej tezy jeden z rządowych ekspertów powiedział „u jednych Ukraińców dały o sobie znać rosyjskie korzenie, a u innych pobudki prozachodnie i pro-gruzińskie”. Rosyjska strona do dziś nie przedstawiła, żadnych danych dotyczących ataków. Zachodnie ośrodki badawcze nie zarejestrowały większych ruchów wymierzonych w wyżej wymienione serwisy.

W anglojęzycznym internecie jest sporo dobrze opracowanych materiałów na ten temat, z których pozwoliłem sobie skorzystać:
Shadowserver - dane na temat ataku
rbnexploit - kapitalny blog poświęcony działalności cyberprzestępców między innymi RBN