Некоммерческая исследовательская организация U.S. Cyber Consequences
Unit подготовила открытую версию своего секретного отчета о кибератаке на
Грузию во время нападения на Южную Осетию в августе 2008 г. Авторы исследования считают, что в этой атаке приняли активное участие российские преступные
группировки.
Секретная 100-страничная версия отчета U.S. Cyber Consequences
Unit доступна только членам правительства США и некоторым специалистам по
компьютерной безопасности. Для широкой аудитории обнародована сокращенная
версия отчета на 9 страницах. Как показывает этот отчет, в ходе распределенной
атаки на отказ в обслуживании DDoS (Distributed Denial-of-Service) пострадали
54 сайта частных и государственных организаций Грузии. В частности,
отключенными оказались некоторые сетевые средства массовой информации и
финансовые организации, включая Национальный банк Грузии, который на 10 дней
был отрезан от Интернета.
Основные положения открытой версии отчета основаны на исследованиях
Джона Бумгарнера (John Bumgarner), технического директора U.S. Cyber Consequences
Unit. Кроме того, к работе над отчетом были привлечены добровольцы из
социальных сетей, которые помогли найти ответы на некоторые вопросы в русскоязычных
форумах и на одном англоязычном форуме в г. Сан-Франциско (США). Как утверждает
отчет, в нападениях на грузинские сайты были задействованы серверы, которые
обычно используют российские преступные группы для хранения и распространения
вредоносных программ.
По словам авторов отчета: «Русские преступные группы не делают
никаких усилий, чтобы скрыть свою причастность к кибервойне против Грузии,
поскольку они хотят взять на себя ответственность за эти нападения». Также
авторы отчета указывают, что код программ, использованных для атаки на
грузинские сайты, был специально модифицирован именно для этой кампании.
Примененный в ходе атаки ботнет (сеть зараженных ПК, втайне используемых
владельцами управляющего сервера) содержал четыре программы - три из них обычно
используются для тестирования веб-сайтов на устойчивость к экстремальным
нагрузкам. Четвертой атакующей программой стала специально модифицированная
утилита, которую традиционно применяют для расширения возможностей веб-страниц,
но на этот раз хакеры перенастроили ее на запрос несуществующих веб-страниц.
Как гласит отчет U.S. Cyber Consequences Unit, последствия
атаки могли быть гораздо плачевнее для Грузии, поскольку многие части
критически важной инфраструктуры Грузии доступны через каналы Интернета. Кроме
того, в ходе атаки использовались инструменты на базе HTTP-запросов, которые
работают намного эффективнее, чем инструменты на базе протокола ICMP (Internet Control
Message Protocol), примененные в ходе атаки на Эстонию в 2007 г.
Авторам отчета, по крайней мере, открытого варианта, не
удалось доказать связь кибератак с российскими военными. В то же время
гражданские взломщики явно действовали с учетом военных действий на территории
Южной Осетии и Грузии. С другой стороны, утверждает отчет, если бы российская армия
хотела совершить подобную атаку, она сделала бы это, так как все возможности для этого у России имеются.
Отсутствие физических разрушений в ходе кибератаки, по мнению авторов отчета,
показывает, что у атакующей стороны были некоторые вынужденные ограничения,
иначе бы пострадали не только виртуальные веб-страницы и сайты, но и такие
важные компоненты грузинского государства, как коммунальные сети и другие
системы жизнеобеспечения
Отчет U.S. Cyber Consequences
Unit, несмотря на секретный характер, не несет в себе каких-то выводов,
блещущих новизной, однако попытка привязать к атаке «русскую мафию»
одновременно с армией России выглядит необычно.
По материалам сайта PC
World.
|
