Під час російсько-грузинської війни низка кібератак заполонила і вивела з ладу вебсайти численних південноосетинських, грузинських, російських та азербайджанських організацій. Атаки були розпочаті за три тижні до початку війни, що вважається «першим випадком в історії скоординованої атаки у кіберсфері, що збігається із значними бойовими діями у інших сферах (на землі, в повітрі, морі та космосі)»[1].
Атаки
20 липня 2008 року, за кілька тижнів до російського вторгнення в Грузію, заражені вірусами «зомбі» комп'ютери вже атакували Грузію[2][3]. На сайт президента Грузії Міхеіла Саакашвілі був здійснений напад, що призвело до перевантаження сайту. Трафік, спрямований на сайт, містив фразу «win+love+in+Rusia» (англ. з помилками «перемога+любов+в+Росії»). Після цього сайт не працював 24 години[4][5].
5 серпня 2008 року було зламано сайти південноосетинської новинної агенції «ОСІнформ» та «ОСРадіо». Вебсайт «ОСІнформ» з адресою osinform.ru зберіг свій заголовок і логотип, але його вміст було замінено вмістом сайту Alania TV. Телевізійна станція Alania TV, яку підтримує уряд Грузії, орієнтована на аудиторію в Південній Осетії, заперечує будь-яку причетність до злому вебсайту конкурентного інформаційного агентства. Посланник від Південної Осетії в МосквіДмитро Медоєв стверджував, що Грузія намагалася приховати загибель 29 грузинських військовослужбовців під час пожежі 1 і 2 серпня[6].
5 серпня трубопровід Баку–Тбілісі–Джейхан піддався терористичній атаці поблизу міста Рефахіє в Туреччині. Відповідальність спочатку взяла на себе Робоча партія Курдистану (PKK), але є непрямі докази того, що це була складна комп'ютерна атака на системи контролю та безпеки, що призвели до підвищення тиску та вибуху[7].
За словами дослідника Джарта Арміна, з вечора 7 серпня 2008 року багато грузинських інтернет-серверів перебували під зовнішнім контролем[8]. 8 серпня DDoS-атаки досягли піку і почалися заміни головних сторінок (дефейси)[9].
Як повідомляється, 9 серпня 2008 року головні ділянки грузинського інтернет-трафіку були перенаправлені на сервери в Росії та Туреччині, де цей трафік був частково заблокований. Російські та турецькі сервери ніби контролювали російські хакери. Пізніше того ж дня адміністратори мережі в Німеччині змогли тимчасово перенаправити частину грузинського інтернет-трафіку безпосередньо на сервери, якими керує компанія Deutsche Telekom AG. Однак за кілька годин трафік знову був перенаправлений на сервери в Москві[8][10].
10 серпня 2008 року вебсайт інформаційного агентства «РИА Новости» був вимкнений на кілька годин через серію атак. Голова ІТ-відділу агентства Максим Кузнєцов зазначив: «DNS-сервери та сам сайт піддаються серйозній атаці»[11].
10 серпня Джарт Армін попередив, що грузинські сайти, які є в Інтернеті, могли бути фальшивими. Він сказав: «Будьте обережні з будь-якими вебсайтами, які є офіційно Грузинськими, але не мають жодних останніх новин [наприклад, від суботи, 9 серпня, або неділі, 10 серпня], оскільки вони можуть бути шахрайськими»[8][10].
Ще до 11 серпня 2008 року на вебсайті грузинського президента був розміщений дефейс, а також опубліковані зображення, що порівнюють президента Саакашвілі з Адольфом Гітлером. Це був приклад кібервійни в поєднанні з психологічною операцією (PSYOP)[9]. Також мішенню став сайт грузинського парламенту[9][8][12]. Також були атаковані деякі грузинські комерційні сайти[10][8][12]. 11 серпня Грузія звинуватила Росію у веденні кібервійни на вебсайтах грузинського уряду одночасно з військовим наступом. у міністерстві закордонних справ Грузії заявили: «Кампанія кібервійни з боку Росії серйозно підриває роботу багатьох грузинських вебсайтів, у тому числі міністерства закордонних справ». Речник Кремля спростував це звинувачення і сказав: «Навпаки, ряд інтернет-сайтів, що належать російським ЗМІ та офіційним організаціям, стали жертвами узгоджених хакерських атак»[13]. Міністерство закордонних справ створило блог на сервісі Google Blogger як тимчасовий сайт. Сайт президента Грузії перенесли на сервери США[9][12]. На вебсайті Національного банку Грузії в якийсь момент розмістили дефейс, а також зображення диктаторів 20-го століття та зображення президента Грузії Саакашвілі[2]. На вебсайт парламенту Грузії розмістила дефейс «група хакерів Південної Осетії», а вміст було замінено зображеннями, що порівнюють Саакашвілі з Гітлером[12].
Естонія запропонувала хостинг та радників з кіберзахисту для урядового сайту Грузії[14][3]. Однак речник Центру розвитку державних інформаційних систем Естонії сказав, що Грузія не просила допомоги. «Це буде вирішувати уряд», — сказав він[10]. Повідомлялося, що росіяни бомбили телекомунікаційну інфраструктуру Грузії, зокрема вежі стільникового зв'язку[14]. Під час конфлікту приватні компанії США також допомагали уряду Грузії захищати інформацію, яка не по'язана воєнними діями, наприклад про виплату заробітної плати держслужбовцям[15].
Російські хакери також атакували сервери інформаційного агентства Azerbaijani Day.Az. Причиною стала позиція Azerbaijani Day.Az у висвітленні російсько-грузинського конфлікту[16]. Атаку також зазнав ANS.az, один з провідних новинних сайтів Азербайджану[17]. Російські спецслужби також вимкнули інформаційні сайти Грузії під час війни[16]. Грузинський новинний сайт Civil Georgia був перенесений на один із доменів Blogspot Google[14]. Незважаючи на кібератаки, грузинським журналістам вдалося повідомити про війну. Багато медіа-професіоналів і громадянських журналістів створили блоги, щоб повідомляти або коментувати війну[18][19]
Кандидат у президенти США Барак Обама вимагав від Росії припинити інтернет-атаки, а також дотримуватися режиму припинення вогню у конвенційній війні[10]. Президент Польщі Лех Качинський заявив, що Росія блокує грузинські «інтернет-портали», щоб доповнити свою військову агресію. Він запропонував Грузії власний вебсайт, щоб допомогти в «поширенні інформації»[12]. Міжнародна організація «Репортери без кордонів» засудили порушення свободи інформації в Інтернеті після початку військових дій між Грузією та Росією. «Інтернет став полем битви, на якому першою жертвою є інформація», — йшлося у повідомленні[17].
Атаки включали атаки відмови в обслуговуванні[2][12][17]. 12 серпня газета Нью-Йорк таймс повідомила, що, за словами деяких експертів, це був перший випадок в історії, коли відома кібератака збіглася з війною. 12 серпня атаки, здійснені програмами, які знаходилися в хостинг-центрах, керованих російськими телекомунікаційними компаніями, тривали. Російськомовний сайт stopgeorgia.ru продовжував працювати та пропонувати програмне забезпечення для DoS атак[2].
14 серпня 2008 року повідомлялося, що, хоча перемир'я досягнуто, основні грузинські сервери все ще не працюють, що заважає комунікації в Грузії.[19].
Аналіз
Російський уряд спростував звинувачення в тому, що він стоїть за нападами та заявив, що, можливо, «особи в Росії чи в інших місцях взяли на себе зобов'язання розпочати атаки»[2]. Деякі джерела припускають, що за багатьма з цих кібератак стояла злочинна група з Санкт-Петербурга, відома як Russian Business Network (Російська бізнес мережа, або RBN)[8][9][10][2][20]. RBN вважалася однією з найгірших у світі мереж хостингу спаму, дитячої порнографії, шкідливих програм, фішингу та кіберзлочинних мереж. Вважається, що лідер і творець RBN, відомий як Flyman, є племінником могутнього російського політика зі зв'язками[21].
Болгарський аналітик з інтернет-безпеки Данчо Данчев стверджував, що російські атаки на грузинські вебсайти використовували «всі необхідні фактори для повної успішної передачі пропускної здатності та юридичної відповідальності перед пересічним користувачем Інтернету на сторонніх осіб»[9].
Хосе Назаріо, дослідник безпеки у Arbor Networks, сказав виданню CNET, що він бачить докази того, що Грузія реагувала на кібератаки, атакуючи принаймні один сайт московської газети[22].
Дон Джексон, директор із розвідки загроз SecureWorks, фірми з комп'ютерної безпеки в Атланті, зазначив, що на вихідних напередодні війни комп'ютерні дослідники спостерігали, як створювалися ботнети під час підготовки до атаки, а потім активовані незадовго до початку російських авіаударів 9 серпня[2]. За словами Джексона, це підкріплює думку, що за атакою справді стоїть російський уряд, а не RBN[23]. Крім того, Джексон виявив, що не всі комп'ютери, які атакували грузинські вебсайти, були на серверах RBN, а також на «інтернет-адресах, що належать державним телекомунікаційним компаніям у Росії»[23].
Ґаді Еврон, колишній керівник ізраїльської команди реагування на комп'ютерні надзвичайні події, вважав, що атаки на грузинську інтернет-інфраструктуру нагадували кібербунт, а не кібервійну. Еврон визнав, що атаки могли бути «непрямими російськими (військовими) діями», але вказав, що нападники «могли б атакувати більш стратегічно важливі цілі або активно ліквідувати інфраструктуру (грузинського Інтернету)». Тіньовий сервер зареєстрував шість різних залучених до атак ботнетів, кожен з яких контролювався іншим командним сервером[24].
Джонатан Зіттрен, співзасновник Гарвардського центру Інтернету та суспільства Беркмана, сказав, що російські військові безперечно мають засоби для атаки на інтернет-інфраструктуру Грузії. Білл Вудкок, директор з досліджень Packet Clearing House, каліфорнійської некомерційної групи, яка відстежувала тенденції безпеки в Інтернеті, сказав, що атаки мали ознаки «підготовлених та координованих професіоналів». Російські хакери також зламали російську газету Skandaly.ru нібито за висловлювання прогрузинських настроїв. «Це був перший раз, коли вони атакували внутрішню та зовнішню ціль у рамках однієї атаки», — сказав Вудкок. Гері Уорнер, експерт з кіберзлочинності з Університету Алабами в Бірмінгемі, сказав, що він знайшов «копії сценарію атаки» використаного проти Грузії разом з інструкціями щодо використання, опубліковані в розділі коментарів від читачів у нижній частині практично кожної історії в російських ЗМІ[3]. Білл Вудкок додав, що кібератаки залишають мінімум слідів, а також настільки дешеві та прості в організації, що вони майже точно залишаться рисою сучасної війни[2].
Журнал Економіст написав, що будь-хто, хто бажає взяти участь у кібератаці на Грузію, може зробити це з будь-якого місця, де є підключення до Інтернету, відвідавши один із проросійських сайтів і завантаживши програмне забезпечення та інструкції, необхідні для проведення розподіленої атаки «відмову в обслуговуванні» (DDoS). Вебсайт під назвою StopGeorgia надав утиліту під назвою DoSHTTP, а також список цілей, включаючи урядові установи Грузії та посольства Великої Британії та Америки в Тбілісі. Для запуску атаки потрібно було просто ввести адресу та натиснути кнопку з написом «Start Flood». На вебсайті StopGeorgia також вказано, які цільові сайти все ще активні, а які перестали працювати. Інші вебсайти пояснювали, як писати прості програми для надсилання безлічі запитів, або пропонували спеціальні вебсторінки, які були налаштовані на повторне завантаження, що перевантажувало грузинські сайти трафіком. Не було переконливих доказів того, що напади були здійснені або санкціоновані російським урядом, а також не було доказів того, що він намагався їх зупинити[25].
У березні 2009 року дослідники безпеки з Greylogic дійшли висновку, що російське ГРУ та ФСБ, ймовірно, відігравали ключову роль у координації та організації атак. Форум Stopgeorgia.ru був прикриттям для спонсованих держвою атак[26].
Джон Бамгарнер, член Відділу кібернаслідків США (US-CCU) провів дослідження кібератак під час російсько-грузинської війни. У звіті зроблено висновок, що кібератаки проти Грузії, запущені російськими хакерами у 2008 році, продемонстрували необхідність міжнародного співробітництва для безпеки. У повідомленні зазначається, що організатори кібератак знали про військові плани Росії, але вважалося, що самі нападники були цивільними. Дослідження Бумґарнера прийшло до висновку, що перша хвиля кібератак, запущених проти грузинських медіа-сайтів, відповідала тактиці, яка використовується у військових операціях[27]. «Здається, більшість інструментів кібератак, використаних в кампанії, були написані або до певної міри налаштовані спеціально для кампанії проти Грузії», — йдеться у дослідженні. Хоча хакери, здавалося, були заздалегідь попереджені про вторгнення та мали переваги від тісної співпраці з державними установами, не було жодних слідів, які б безпосередньо пов'язували атаки з російським урядом або військовими[28].