Кібератаки під час російсько-грузинської війни

Під час російсько-грузинської війни низка кібератак заполонила і вивела з ладу вебсайти численних південноосетинських, грузинських, російських та азербайджанських організацій. Атаки були розпочаті за три тижні до початку війни, що вважається «першим випадком в історії скоординованої атаки у кіберсфері, що збігається із значними бойовими діями у інших сферах (на землі, в повітрі, морі та космосі)»[1].

Атаки

20 липня 2008 року, за кілька тижнів до російського вторгнення в Грузію, заражені вірусами «зомбі» комп'ютери вже атакували Грузію[2][3]. На сайт президента Грузії Міхеіла Саакашвілі був здійснений напад, що призвело до перевантаження сайту. Трафік, спрямований на сайт, містив фразу «win+love+in+Rusia» (англ. з помилками «перемога+любов+в+Росії»). Після цього сайт не працював 24 години[4][5].

5 серпня 2008 року було зламано сайти південноосетинської новинної агенції «ОСІнформ» та «ОСРадіо». Вебсайт «ОСІнформ» з адресою osinform.ru зберіг свій заголовок і логотип, але його вміст було замінено вмістом сайту Alania TV. Телевізійна станція Alania TV, яку підтримує уряд Грузії, орієнтована на аудиторію в Південній Осетії, заперечує будь-яку причетність до злому вебсайту конкурентного інформаційного агентства. Посланник від Південної Осетії в Москві Дмитро Медоєв стверджував, що Грузія намагалася приховати загибель 29 грузинських військовослужбовців під час пожежі 1 і 2 серпня[6].

5 серпня трубопровід Баку–Тбілісі–Джейхан піддався терористичній атаці поблизу міста Рефахіє в Туреччині. Відповідальність спочатку взяла на себе Робоча партія Курдистану (PKK), але є непрямі докази того, що це була складна комп'ютерна атака на системи контролю та безпеки, що призвели до підвищення тиску та вибуху[7].

За словами дослідника Джарта Арміна, з вечора 7 серпня 2008 року багато грузинських інтернет-серверів перебували під зовнішнім контролем[8]. 8 серпня DDoS-атаки досягли піку і почалися заміни головних сторінок (дефейси)[9].

Як повідомляється, 9 серпня 2008 року головні ділянки грузинського інтернет-трафіку були перенаправлені на сервери в Росії та Туреччині, де цей трафік був частково заблокований. Російські та турецькі сервери ніби контролювали російські хакери. Пізніше того ж дня адміністратори мережі в Німеччині змогли тимчасово перенаправити частину грузинського інтернет-трафіку безпосередньо на сервери, якими керує компанія Deutsche Telekom AG. Однак за кілька годин трафік знову був перенаправлений на сервери в Москві[8][10].

10 серпня 2008 року вебсайт інформаційного агентства «РИА Новости» був вимкнений на кілька годин через серію атак. Голова ІТ-відділу агентства Максим Кузнєцов зазначив: «DNS-сервери та сам сайт піддаються серйозній атаці»[11].

10 серпня Джарт Армін попередив, що грузинські сайти, які є в Інтернеті, могли бути фальшивими. Він сказав: «Будьте обережні з будь-якими вебсайтами, які є офіційно Грузинськими, але не мають жодних останніх новин [наприклад, від суботи, 9 серпня, або неділі, 10 серпня], оскільки вони можуть бути шахрайськими»[8][10].

Ще до 11 серпня 2008 року на вебсайті грузинського президента був розміщений дефейс, а також опубліковані зображення, що порівнюють президента Саакашвілі з Адольфом Гітлером. Це був приклад кібервійни в поєднанні з психологічною операцією (PSYOP)[9]. Також мішенню став сайт грузинського парламенту[9][8][12]. Також були атаковані деякі грузинські комерційні сайти[10][8][12]. 11 серпня Грузія звинуватила Росію у веденні кібервійни на вебсайтах грузинського уряду одночасно з військовим наступом. у міністерстві закордонних справ Грузії заявили: «Кампанія кібервійни з боку Росії серйозно підриває роботу багатьох грузинських вебсайтів, у тому числі міністерства закордонних справ». Речник Кремля спростував це звинувачення і сказав: «Навпаки, ряд інтернет-сайтів, що належать російським ЗМІ та офіційним організаціям, стали жертвами узгоджених хакерських атак»[13]. Міністерство закордонних справ створило блог на сервісі Google Blogger як тимчасовий сайт. Сайт президента Грузії перенесли на сервери США[9][12]. На вебсайті Національного банку Грузії в якийсь момент розмістили дефейс, а також зображення диктаторів 20-го століття та зображення президента Грузії Саакашвілі[2]. На вебсайт парламенту Грузії розмістила дефейс «група хакерів Південної Осетії», а вміст було замінено зображеннями, що порівнюють Саакашвілі з Гітлером[12].

Естонія запропонувала хостинг та радників з кіберзахисту для урядового сайту Грузії[14][3]. Однак речник Центру розвитку державних інформаційних систем Естонії сказав, що Грузія не просила допомоги. «Це буде вирішувати уряд», — сказав він[10]. Повідомлялося, що росіяни бомбили телекомунікаційну інфраструктуру Грузії, зокрема вежі стільникового зв'язку[14]. Під час конфлікту приватні компанії США також допомагали уряду Грузії захищати інформацію, яка не по'язана воєнними діями, наприклад про виплату заробітної плати держслужбовцям[15].

Російські хакери також атакували сервери інформаційного агентства Azerbaijani Day.Az. Причиною стала позиція Azerbaijani Day.Az у висвітленні російсько-грузинського конфлікту[16]. Атаку також зазнав ANS.az, один з провідних новинних сайтів Азербайджану[17]. Російські спецслужби також вимкнули інформаційні сайти Грузії під час війни[16]. Грузинський новинний сайт Civil Georgia був перенесений на один із доменів Blogspot Google[14]. Незважаючи на кібератаки, грузинським журналістам вдалося повідомити про війну. Багато медіа-професіоналів і громадянських журналістів створили блоги, щоб повідомляти або коментувати війну[18][19]

Кандидат у президенти США Барак Обама вимагав від Росії припинити інтернет-атаки, а також дотримуватися режиму припинення вогню у конвенційній війні[10]. Президент Польщі Лех Качинський заявив, що Росія блокує грузинські «інтернет-портали», щоб доповнити свою військову агресію. Він запропонував Грузії власний вебсайт, щоб допомогти в «поширенні інформації»[12]. Міжнародна організація «Репортери без кордонів» засудили порушення свободи інформації в Інтернеті після початку військових дій між Грузією та Росією. «Інтернет став полем битви, на якому першою жертвою є інформація», — йшлося у повідомленні[17].

Атаки включали атаки відмови в обслуговуванні[2][12][17]. 12 серпня газета Нью-Йорк таймс повідомила, що, за словами деяких експертів, це був перший випадок в історії, коли відома кібератака збіглася з війною. 12 серпня атаки, здійснені програмами, які знаходилися в хостинг-центрах, керованих російськими телекомунікаційними компаніями, тривали. Російськомовний сайт stopgeorgia.ru продовжував працювати та пропонувати програмне забезпечення для DoS атак[2].

14 серпня 2008 року повідомлялося, що, хоча перемир'я досягнуто, основні грузинські сервери все ще не працюють, що заважає комунікації в Грузії.[19].

Аналіз

Російський уряд спростував звинувачення в тому, що він стоїть за нападами та заявив, що, можливо, «особи в Росії чи в інших місцях взяли на себе зобов'язання розпочати атаки»[2]. Деякі джерела припускають, що за багатьма з цих кібератак стояла злочинна група з Санкт-Петербурга, відома як Russian Business Network (Російська бізнес мережа, або RBN)[8][9][10][2][20]. RBN вважалася однією з найгірших у світі мереж хостингу спаму, дитячої порнографії, шкідливих програм, фішингу та кіберзлочинних мереж. Вважається, що лідер і творець RBN, відомий як Flyman, є племінником могутнього російського політика зі зв'язками[21].

Болгарський аналітик з інтернет-безпеки Данчо Данчев стверджував, що російські атаки на грузинські вебсайти використовували «всі необхідні фактори для повної успішної передачі пропускної здатності та юридичної відповідальності перед пересічним користувачем Інтернету на сторонніх осіб»[9].

Хосе Назаріо, дослідник безпеки у Arbor Networks, сказав виданню CNET, що він бачить докази того, що Грузія реагувала на кібератаки, атакуючи принаймні один сайт московської газети[22].

Дон Джексон, директор із розвідки загроз SecureWorks, фірми з комп'ютерної безпеки в Атланті, зазначив, що на вихідних напередодні війни комп'ютерні дослідники спостерігали, як створювалися ботнети під час підготовки до атаки, а потім активовані незадовго до початку російських авіаударів 9 серпня[2]. За словами Джексона, це підкріплює думку, що за атакою справді стоїть російський уряд, а не RBN[23]. Крім того, Джексон виявив, що не всі комп'ютери, які атакували грузинські вебсайти, були на серверах RBN, а також на «інтернет-адресах, що належать державним телекомунікаційним компаніям у Росії»[23].

Ґаді Еврон, колишній керівник ізраїльської команди реагування на комп'ютерні надзвичайні події, вважав, що атаки на грузинську інтернет-інфраструктуру нагадували кібербунт, а не кібервійну. Еврон визнав, що атаки могли бути «непрямими російськими (військовими) діями», але вказав, що нападники «могли б атакувати більш стратегічно важливі цілі або активно ліквідувати інфраструктуру (грузинського Інтернету)». Тіньовий сервер зареєстрував шість різних залучених до атак ботнетів, кожен з яких контролювався іншим командним сервером[24].

Джонатан Зіттрен, співзасновник Гарвардського центру Інтернету та суспільства Беркмана, сказав, що російські військові безперечно мають засоби для атаки на інтернет-інфраструктуру Грузії. Білл Вудкок, директор з досліджень Packet Clearing House, каліфорнійської некомерційної групи, яка відстежувала тенденції безпеки в Інтернеті, сказав, що атаки мали ознаки «підготовлених та координованих професіоналів». Російські хакери також зламали російську газету Skandaly.ru нібито за висловлювання прогрузинських настроїв. «Це був перший раз, коли вони атакували внутрішню та зовнішню ціль у рамках однієї атаки», — сказав Вудкок. Гері Уорнер, експерт з кіберзлочинності з Університету Алабами в Бірмінгемі, сказав, що він знайшов «копії сценарію атаки» використаного проти Грузії разом з інструкціями щодо використання, опубліковані в розділі коментарів від читачів у нижній частині практично кожної історії в російських ЗМІ[3]. Білл Вудкок додав, що кібератаки залишають мінімум слідів, а також настільки дешеві та прості в організації, що вони майже точно залишаться рисою сучасної війни[2].

Журнал Економіст написав, що будь-хто, хто бажає взяти участь у кібератаці на Грузію, може зробити це з будь-якого місця, де є підключення до Інтернету, відвідавши один із проросійських сайтів і завантаживши програмне забезпечення та інструкції, необхідні для проведення розподіленої атаки «відмову в обслуговуванні» (DDoS). Вебсайт під назвою StopGeorgia надав утиліту під назвою DoSHTTP, а також список цілей, включаючи урядові установи Грузії та посольства Великої Британії та Америки в Тбілісі. Для запуску атаки потрібно було просто ввести адресу та натиснути кнопку з написом «Start Flood». На вебсайті StopGeorgia також вказано, які цільові сайти все ще активні, а які перестали працювати. Інші вебсайти пояснювали, як писати прості програми для надсилання безлічі запитів, або пропонували спеціальні вебсторінки, які були налаштовані на повторне завантаження, що перевантажувало грузинські сайти трафіком. Не було переконливих доказів того, що напади були здійснені або санкціоновані російським урядом, а також не було доказів того, що він намагався їх зупинити[25].

У березні 2009 року дослідники безпеки з Greylogic дійшли висновку, що російське ГРУ та ФСБ, ймовірно, відігравали ключову роль у координації та організації атак. Форум Stopgeorgia.ru був прикриттям для спонсованих держвою атак[26].

Джон Бамгарнер, член Відділу кібернаслідків США (US-CCU) провів дослідження кібератак під час російсько-грузинської війни. У звіті зроблено висновок, що кібератаки проти Грузії, запущені російськими хакерами у 2008 році, продемонстрували необхідність міжнародного співробітництва для безпеки. У повідомленні зазначається, що організатори кібератак знали про військові плани Росії, але вважалося, що самі нападники були цивільними. Дослідження Бумґарнера прийшло до висновку, що перша хвиля кібератак, запущених проти грузинських медіа-сайтів, відповідала тактиці, яка використовується у військових операціях[27]. «Здається, більшість інструментів кібератак, використаних в кампанії, були написані або до певної міри налаштовані спеціально для кампанії проти Грузії», — йдеться у дослідженні. Хоча хакери, здавалося, були заздалегідь попереджені про вторгнення та мали переваги від тісної співпраці з державними установами, не було жодних слідів, які б безпосередньо пов'язували атаки з російським урядом або військовими[28].

Див. також

Примітки

  1. Hollis, David (6 січня 2011). Cyberwar Case Study: Georgia 2008 (PDF). Small Wars Journal. Архів оригіналу (PDF) за 4 березня 2022. Процитовано 4 березня 2022.
  2. а б в г д е ж и Markoff, John (12 серпня 2008). Before the Gunfire, Cyberattacks. The New York Times. Архів оригіналу за 30 березня 2019. Процитовано 4 березня 2022.
  3. а б в Wentworth, Travis (23 August 2008). How Russia May Have Attacked Georgia's Internet. Newsweek. Архів оригіналу за 4 березня 2022. Процитовано 4 березня 2022.
  4. Dancho Danchev (22 липня 2008). Georgia President's web site under DDoS attack from Russian hackers. ZDNet. Архів оригіналу за 5 березня 2022. Процитовано 4 березня 2022.
  5. Georgia president's Web site falls under DDOS attack. Computerworld. 21 липня 2008. Архів оригіналу за 11 серпня 2016. Процитовано 4 березня 2022.
  6. S.Ossetian News Sites Hacked. Civil Georgia. 5 серпня 2008. Архів оригіналу за 25 червня 2017. Процитовано 4 березня 2022.
  7. Jordan Robertson; Michael Riley (10 грудня 2014). Mysterious '08 Turkey Pipeline Blast Opened New Cyberwar Era. Bloomberg.com. Архів оригіналу за 25 грудня 2014. Процитовано 4 березня 2022.
  8. а б в г д е Keizer, Gregg (11 August 2008). Cyberattacks knock out Georgia's Internet presence. Computerworld. Архів оригіналу за 3 травня 2014. Процитовано 4 березня 2022.
  9. а б в г д е Danchev, Dancho (11 серпня 2008). Coordinated Russia vs Georgia cyber attack in progress. ZDNet. Архів оригіналу за 2 листопада 2014. Процитовано 4 березня 2022.
  10. а б в г д е Georgia: Russia 'conducting cyber war'. The Telegraph. 11 серпня 2008. Архів оригіналу за 4 березня 2022. Процитовано 4 березня 2022.
  11. RIA Novosti hit by cyber-attacks as conflict with Georgia rages. RIA Novosti. 10 серпня 2008. Архів оригіналу за 12 August 2008.
  12. а б в г д е Asher Moses (12 серпня 2008). Georgian websites forced offline in 'cyber war'. The Sydney Morning Herald. Архів оригіналу за 14 вересня 2008.
  13. Georgia says Russian hackers block govt websites. Reuters. 11 серпня 2008. Архів оригіналу за 24 січня 2016. Процитовано 4 березня 2022.
  14. а б в Estonia, Google Help 'Cyberlocked' Georgia (Updated). 11 серпня 2008. Архів оригіналу за 4 березня 2022. Процитовано 4 березня 2022.
  15. Steven Korns and Joshua E. Kastenberg, Georgia's Cyber Left Hook, Parameters: Journal of the Army War College (2008), 59-64
  16. а б Russian intelligence services undertook large scale attack against Day.Az server. Today.az. 11 серпня 2008. Архів оригіналу за 4 березня 2022. Процитовано 4 березня 2022.
  17. а б в Russian and Georgian websites fall victim to a war being fought online as well as in the field. Reporters Without Borders. 13 серпня 2008. Архів оригіналу за 14 липня 2014.
  18. Georgia: Regional Reporters. Global Voices. 24 серпня 2008. Архів оригіналу за 26 квітня 2015. Процитовано 4 березня 2022.
  19. а б Longtime Battle Lines Are Recast In Russia and Georgia's Cyberwar. The Washington Post. 14 серпня 2008. Архів оригіналу за 13 березня 2018. Процитовано 4 березня 2022.
  20. Georgia States Computers Hit By Cyberattack. The Wall Street Journal. 12 серпня 2008. Архів оригіналу за 4 березня 2022. Процитовано 4 березня 2022.
  21. The hunt for Russia's web crims. The Age. 13 грудня 2007. Архів оригіналу за 14 вересня 2014. Процитовано 4 березня 2022.
  22. Russia and Georgia continue attacks--online. CNET. 12 серпня 2008. Архів оригіналу за 4 березня 2022. Процитовано 4 березня 2022.
  23. а б Expert: Cyber-attacks on Georgia websites tied to mob, Russian government. LA Times Blogs - Technology (амер.). 13 серпня 2008. Архів оригіналу за 4 березня 2022. Процитовано 17 листопада 2020.
  24. Unlikely That Russians Hacked Georgia Though Attacks Were Political | Cyber Talk Blog by Shimon Sheves. www.cybertalkblog.co.uk (амер.). Архів оригіналу за 5 березня 2022. Процитовано 16 квітня 2017.
  25. Marching off to cyberwar. The Economist. 4 грудня 2008. Архів оригіналу за 6 May 2009.
  26. Leyden, John (23 березня 2009). Russian spy agencies linked to Georgian cyber-attacks. The Register. Архів оригіналу за 1 жовтня 2019. Процитовано 4 березня 2022.
  27. Brian Prince (18 серпня 2009). Cyber-attacks on Georgia Show Need for International Cooperation, Report States. eWeek.[недоступне посилання]
  28. Mark Rutherford (18 серпня 2009). Report: Russian mob aided cyberattacks on Georgia. CNET. Архів оригіналу за 22 серпня 2013. Процитовано 4 березня 2022.

Посилання