Cyberattaques géorgiennes liées au crime organisé russe

Les cyberattaques contre la Géorgie il ya un an ont été menées en étroite relation avec les gangs criminels russes, et les assaillants ont probablement été informés de l'intention russe d'envahir le pays, selon une nouvelle analyse technique, dont une grande partie reste secrète.

de l'US Cyber ​​Consequences Unit, un institut de recherche indépendant à but non lucratif qui évalue l'impact des cyberattaques. Une analyse technique de 100 pages est seulement mise à la disposition du gouvernement américain et de certains professionnels de la cybersécurité, mais l'organisation a publié un résumé de neuf pages tôt lundi.

Le rapport confirme en partie certains des soupçons des observateurs, qui théorisent que les attaques distribuées par déni de service (DDOS), qui ont paralysé de nombreux sites Web géorgiens, avaient leurs racines en Russie.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Le rapport a été principalement produit à travers des enquêtes menées par le CTO de l'US Cyber ​​Consequences Unit, John Bumgarner. Il s'agissait d'analyser un tas de données recueillies au fur et à mesure des attaques. Selon Scott Borg, directeur et économiste en chef de l'institut, les données comprenaient des journaux de serveurs provenant de diverses parties prenantes, dont certaines ne partageaient pas l'information.

La Russie a lancé une campagne militaire de cinq jours en août 2008 avec les tentatives de la Géorgie d'exercer un plus grand contrôle sur les régions d'Ossétie du Sud et d'Abkhazie, qui ont des liens étroits avec la Russie. Les bombardiers ont frappé des cibles dans tout le pays, et dans le même temps, les médias et les sites gouvernementaux géorgiens ont été attaqués par le DDOS.

Ce moment ne semble pas être une coïncidence. Les attaques ont été exécutées avec une efficacité qui indiquait la pré-planification, et les cyberattaques ont également précédé les premières nouvelles de l'intervention militaire de la Russie, selon le rapport.

"Beaucoup des cyberattaques étaient si proches des militaires correspondants opérations qu'il devait y avoir une coopération étroite entre les gens dans l'armée russe et les cyber-attaquants civils ", a indiqué le rapport. "Beaucoup des actions menées par les pirates, telles que l'enregistrement de nouveaux noms de domaine et la création de nouveaux sites Web, ont été accomplies si rapidement que toutes les étapes ont dû être préparées plus tôt."

Borg a déclaré que le gouvernement russe n'a pas directement mené les attaques. Mais il est clair que la Russie semblait tirer parti des nationalistes civils prêts à faire de la cyber-action, peut-être avec des encouragements de bas niveau.

"Il semble que l'invasion militaire tenait compte de l'aide qu'ils allaient recevoir … Par la cyberattaque, "Borg a dit.

Il n'est pas clair, cependant, à quel niveau l'interaction entre les fonctionnaires du gouvernement russe et ceux qui ont exécuté les attaques s'est produite. Mais il semble que cette coordination lâche deviendra probablement une partie de la procédure opérationnelle standard de la Russie à partir de maintenant.

Un total de 54 sites Web ont été attaqués, dont la plupart auraient profité à la campagne militaire russe en ne fonctionnant pas, Borg a dit. En fermant les médias et les sites gouvernementaux, il était plus difficile pour la Géorgie de communiquer au public ce qui se passait. Les transactions financières ont été perturbées et la Banque nationale de Géorgie a dû interrompre sa connexion Internet pendant 10 jours, selon le rapport.

Les sites de réseaux sociaux ont aidé à recruter des volontaires qui échangeaient des astuces sur des forums en russe avec une langue anglaise. forum hébergé à San Francisco, selon le rapport. Les serveurs informatiques utilisés dans le passé pour héberger des logiciels malveillants par les gangs criminels russes ont également été utilisés dans les attaques.

"Il semble que les organisations criminelles russes n'aient pas caché leur implication dans la cyber-campagne contre la Géorgie parce qu'elles voulaient pour réclamer le crédit pour cela, "le rapport a dit.

Les attaques DDOS fonctionnent en bombardant un site Web avec trop de demandes de pages, ce qui le rend indisponible en raison de problèmes de bande passante à moins que des mesures de sécurité ne soient prises. L'attaque est exécutée par un botnet, ou un réseau de PC infectés par un code malicieux contrôlé par un pirate.

Le code utilisé pour commander ces machines pour attaquer les sites Web semble être spécialement conçu pour la campagne de Georgia, le rapport a déclaré. Trois des logiciels utilisés ont été conçus pour tester les sites Web afin de déterminer leur trafic.

Un quatrième programme a été conçu à l'origine pour ajouter des fonctions à des sites Web mais a été modifié par les pirates pour demander des pages Web inexistantes. Cet outil, basé sur HTTP, s'est avéré plus efficace que les attaques ICMP (Internet Control Message Protocol) utilisées contre l'Estonie en 2007, selon le rapport.

D'autres preuves ont montré que la Géorgie aurait pu être touchée beaucoup plus durement. Une partie de l'infrastructure critique de la Géorgie était accessible sur Internet. Alors que les cyber-attaquants civils avaient des signes d'expertise considérable, "si les militaires russes avaient choisi de s'impliquer directement, de telles attaques auraient été à leur portée", indique le rapport.

"Le fait que des cyberattaques physiquement destructrices menée contre les industries d'infrastructures critiques géorgiennes suggère que quelqu'un du côté russe a fait preuve d'une contrainte considérable », a-t-il dit.