Georgia Cyberattack legati al crimine organizzato russo

Gli attacchi informatici contro la Georgia un anno fa sono stati condotti in stretta connessione con bande criminali russe, e gli aggressori probabilmente sono stati informati sull'intenzione della Russia di invadere il paese, secondo una nuova analisi tecnica, gran parte del quale rimane segreta.

Le incredibili conclusioni arrivano dalla US Cyber ​​Consequences Unit, un istituto di ricerca indipendente senza scopo di lucro che valuta l'impatto degli attacchi informatici. Un'analisi tecnica di 100 pagine è stata messa a disposizione del governo degli Stati Uniti e di alcuni professionisti della sicurezza informatica, ma l'organizzazione ha rilasciato un resoconto di nove pagine all'inizio di lunedì.

Il rapporto in parte conferma alcuni dei sospetti degli osservatori, che teorizzarono che gli attacchi denial-of-service (DDOS) distribuiti, che hanno paralizzato molti siti Web georgiani, ha le sue radici in Russia.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Il report è stato prodotto principalmente attraverso le indagini del CTO dell'Unità Cyber ​​Consequences degli Stati Uniti, John Bumgarner. Ha comportato l'analisi di una serie di dati raccolti durante gli attacchi in corso e in seguito. I dati comprendevano i registri del server di vari soggetti interessati, alcuni dei quali non condividevano le informazioni tra loro, ha detto Scott Borg, direttore e capo economista dell'istituto.

La Russia ha lanciato una campagna militare di cinque giorni nell'agosto 2008 che corrispondeva con i tentativi della Georgia di affermare un maggiore controllo sull'Ossezia del Sud e sulle regioni dell'Abkhazia, che hanno forti legami con la Russia. I bombardieri hanno colpito obiettivi in ​​tutto il paese, e allo stesso tempo i siti georgiani di media e governo sono caduti sotto attacco DDOS.

Quel tempismo non sembra essere una coincidenza. Gli attacchi sono stati eseguiti con un'efficienza che indicava la pianificazione preliminare, e gli attacchi informatici hanno anche preceduto le prime notizie sull'intervento militare della Russia, secondo il rapporto.

"Molti degli attacchi informatici erano così vicini nel tempo ai militari corrispondenti operazioni che dovevano essere una stretta cooperazione tra le persone nelle forze armate russe e gli attacchi informatici civili ", dice il rapporto. "Molte delle azioni intraprese dagli aggressori, come la registrazione di nuovi nomi di dominio e la creazione di nuovi siti Web, sono state realizzate così rapidamente che tutti i passaggi dovevano essere preparati in precedenza."

Borg ha detto che l'istituto è sicuro che il governo russo non ha effettuato direttamente gli attacchi. Ma è chiaro che la Russia sembrava sfruttare i nazionalisti civili che erano pronti a prendere azioni informatiche, magari con qualche incoraggiamento di basso livello.

"Sembra che l'invasione militare stava prendendo in considerazione l'aiuto che stavano per ricevere … dal cyberattacco ", ha detto Borg.

Non è chiaro, tuttavia, a quale livello si è verificata l'interazione tra i funzionari del governo russo e coloro che hanno eseguito gli attacchi. Ma sembra che l'allentamento del coordinamento diventerà probabilmente parte delle procedure operative standard della Russia da ora in poi, ha detto Borg.

Un totale di 54 siti Web sono stati attaccati, la maggior parte dei quali avrebbe avvantaggiato la campagna militare russa non funzionando, Disse Borg. Arrestando i media e i siti governativi, era più difficile per la Georgia comunicare al pubblico ciò che stava accadendo. Le transazioni finanziarie sono state interrotte e la Banca nazionale della Georgia ha dovuto interrompere la connessione Internet per 10 giorni, secondo il rapporto.

I siti di social networking hanno aiutato a reclutare volontari che scambiavano suggerimenti su forum online in russo, con una lingua inglese forum ospitato a San Francisco, afferma il rapporto. I server di computer che erano stati usati in passato per ospitare software dannoso da bande criminali russe sono stati utilizzati anche negli attacchi.

"Sembra che le organizzazioni criminali russe non abbiano fatto nessuno sforzo per nascondere il loro coinvolgimento nella campagna cibernetica contro la Georgia perché volevano per rivendicare il merito ", afferma il rapporto.

Gli attacchi DDOS funzionano bombardando un sito Web con troppe richieste di pagine, il che fa sì che diventi non disponibile a causa di problemi di larghezza di banda a meno che non vengano prese misure di sicurezza. L'attacco viene eseguito da una botnet o da una rete di PC che vengono infettati da un codice malevolo controllato da un hacker.

Il codice utilizzato per comandare tali macchine per attaccare i siti Web sembra essere personalizzato in modo specifico per la campagna Georgia, il relazione ha detto. Tre dei programmi software utilizzati sono stati progettati per testare i siti Web per vedere quanto traffico possono gestire.

Un quarto programma è stato originariamente progettato per aggiungere funzioni ai siti Web ma è stato modificato dagli hacker per richiedere pagine Web inesistenti. Lo strumento, basato su HTTP, si è dimostrato più efficace degli attacchi basati sull'ICMP (Internet Control Message Protocol) utilizzati contro l'Estonia nel 2007, secondo il rapporto.

Ulteriori prove hanno dimostrato che la Georgia avrebbe potuto essere colpita molto più duramente. Alcune delle infrastrutture critiche della Georgia erano accessibili su Internet. Sebbene i cyberattaccanti civili avessero segni di notevole esperienza, "se le forze armate russe avessero scelto di essere direttamente coinvolte, tali attacchi sarebbero stati ben integrati nelle loro capacità", afferma il rapporto.

"Il fatto che gli attacchi informatici fisicamente distruttivi non erano portato avanti contro le industrie di infrastrutture critiche georgiane suggerisce che qualcuno dalla parte russa stava esercitando un considerevole limite ", ha detto.