wtorek, 12 sierpnia 2008

Gruzińska cyberwojna obejmuje kolejne kraje

Józef Dajczgewand, Bogumiła Tyszkiewicz

Co zrobić, gdy twój kraj jest w stanie wojny - pyta wydawca ZDNet Larry Dignan - a strony rządowe niszczy atak cybernetyczny? Jeśli jesteś Gruzją, zwracasz się ku Bloggerowi oraz internetowej stronie prezydenta Polski.

W poniedziałek 11 sierpnia londyńska ambasada Gruzji oskarżyła "jakieś siły z Rosji" o atak cybernetyczny przeciwko stronom rządowym, skoordynowany z operacjami militarnymi w Południowej Osetii. Rzecznik ambasady poinformował, że w związku z atakiem DDoS opracowano przekierowania, dzięki którym strony prezydenta Gruzji i ministerstwa spraw zagranicznych są ponownie widoczne, ale są to nowe strony, zawieszone na innych serwerach. Zrzut ekranu wykonany przez obserwatorów Salonu24 dowodzi, że stronę Michaiła Saakaszwilego zastąpił obrazek porównujący prezydenta Gruzji do Hitlera. W momencie publikowania tej notki strona ministerstwa obrony nie była jeszcze dostępna, gdyż trwały prace nad stosownym przekierowaniem. Atak denial-of-service (DDoS) polega na tym, że hakerzy za pomocą swych komputerów symulują równoczesne wizyty tysięcy ludzi, aby daną witrynę przeładować i wypchnąć z sieci. Gruziński rzecznik powiedział, że nie dysponuje żadnym potwierdzeniem, że atak cybernetyczny wyszedł z Rosji, ale zadał pytanie: "a któż by to inny mógł być?"

Oto oświadczenie rządu Gruzji:

Wojna cybernetyczna ze strony Rosji uniemożliwiła działanie gruzińskich stron internetowych; rząd Gruzji założył strony alternatywne.

Kampania wojny cybernetycznej ze strony Rosji poważnie utrudniła funkcjonowanie wielu stron gruzińskich, w tym Ministerstwa Spraw Zagranicznych. W przypadku braku dostępu do oficjalnych stron Gruzji prosimy udać się na następujące strony celem uzyskania ostatnich oficjalnych wiadomości z Gruzji.

* http://georgiamfa.blogspot.com/

* Strona Prezydenta Rzeczpospolitej Polskiej Lecha Kaczyńskiego: www.president.pl (szukaj linka: "information about the latest developments in Georgia.")


Free Image Hosting at www.ImageShack.usWięcej informacji podaje Jart Armin, prowadzący bloga monitorującego RBN. Po cyberataku na Gruzję analitycy niemal natychmiast wskazali jako sprawcę właśnie RBN (Russian Business Network), kryminalną sieć hakerów o ścisłych powiązaniach z rosyjską mafią i rządem. Armin opublikował dane sugerujące, że wizyty na gruzińskie strony były kierowane przez dwa serwery połączeniowe z Rosji i jeden z Turcji. Dla ludzi o zainteresowaniach technicznych załączamy diagram (kliknij, aby powiększyć) jasno pokazujący, że rosyjskie serwery AS12389 ROSTELECOM, AS8342 RTCOMM oraz AS8359 COMSTAR kontrolują cały ruch do kluczowych serwerów gruzińskich, przykładowo AS28751 CAUCASUS NET AS Caucasus Network Tbilisi i AS20771 DeltaNet Autonomous System DeltaNet ltd 0179 Tbilisi. Nawet turecki (często kontrolowany przez RBN serwer AS9121 TTNet jest obecnie blokowany przez COMSTAR, choć informatycy tureccy wspierani przez wladze próbuja odzyskać nad nimi kontrolę i zapewnić bezpośrednie przekierowania do Gruzji.

Według Amina serwery te są znane z tego, że znajdują się pod kontrolą RBN i pod wpływem rządu Rosji. Amin podał również, że początkowo zareagowali administratorzy sieci w Niemczech. Czasowo udostępnili gruzińskie strony, kierując ruch przez niemieckie serwery zarządzane przez Deutsche Telekom; jednak po kilku godzinach ruch zostal znowu przechwycony i skierowany - tym razem przez serwery znajdujące się w Moskwie (AS8359 COMSTAR Direct Moscow region network CJSC COMSTAR Direct Smolenskaya Sennaya Sq, 27 block 2 119121, Moscow). Niemieccy informatycy pracują obecnie nad ustanowieniem bezpośredniego połączenia z Gruzją i ominięciem rosyjskiego węzła. To wlaśnie dzięki takim wysiłkom zostały ustanowione alternatywne połączenia z serwerem AS35805 UTG AS United Telecom of Georgia i innymi, co `AQ umożliwiło pojawienie się w sieci stron mfa.gov.ge oraz president.gov.ge.

Opinię Armina potwierdziła monitorująca poważnie przypadki hakingu The Shadowserver Foundation: "obserwujemy właśnie nowe ataki przeciwko witrynom z końcówką .ge - www.parliament.ge oraz www.president.gov.ge są obecnie atakowane wywołaniami http." Armin ostrzegł też, że oficjalne strony Gruzji, które ponownie się pojawiły w sieci, mogą zostać przechwycone przez hakerów: "bądź ostrożny z jakąkolwiek stroną Gruzji, która się wydaje oficjalnym źródłem informacji, ale nie zawiera żadnych aktualizacji... gdyż taka strona może być oszustwem."

Interesującym aspektem tej sprawy jest, że domena president.gov.ge używała name server bazujący w USA i tak się złożyło, że on również znalazł się offline ze względu na ataki DDoS od czwartku do poniedziałku rano. Może to oznaczać, że rosyjscy hakerzy działają także na terenie USA. Na to samo wskazuje strona "stopgeorgia.ru", używająca też mirroru "stopgeorgia.info", która w sekcji Soft oferuje do ściągnięcia narzędzia służące atakom DDoS, a sekcja Cele - oprócz instytucji gruzińskich, jako cele ataku wskazuje też ambasady -amerykańską i brytyjską w Tbilisi. Strona ta działa od pewnego czasu jako witryna rekrutująca nowych czlonkow RBN. Szczegóły rejestracyjne tych stron są następujące: Stopgeorgia.ru - Hosted by AS36351 Softlayer of Plano Texas/ wiadomo, że są związani z Atrivo hostującym malware. Stopgeorgia.info - Hosted by AS28753 NETDIRECT Frankfurt, DE / AS12578 APOLLO LATTELEKOM APOLLO Latvia. Sponsoring Registrar: EstDomains, Inc. Registrant: Domain Manager, Protect Details, Inc, Street1: 29 Kompozitorov St., Saint Petersburg, RU, Phone:+7.8129342271

Hakerzy z RBN mają sporą praktykę w atakowaniu instytucji rządowych innych państw. Jak podaje The Baltic Business News, Estonia zaoferowała, że wyśle do Gruzji zespół specjalistów od bezpieczeństwa w sieci, gdyż ma już w pewną praktykę w cyberwojnie: w kwietniu tego roku systemy komputerowe rządu Estonii przeżyły trzytygodniowy, skoordynowany atak, którego autorstwo jest przypisywane właśnie rosyjskim hakerom. Zeszłoroczna fala ataków zaczęła się po kwietniowych awanturach wokół usunięciu Żołnierza z Brązu - pomnika sowieckiego żołnierza w Tallinie, upamiętniającego wysiłek wojenny ZSRR w II wojnie światowej (Nawiasem mówiąc, fiński pisarz Johan Bäckman właśnie szuka wydawcy dla swej nowej książki "Żołnierz z Brązu", w której twierdzi, że usunięcie tego pomnika było ostatnim dniem w historii Estonii i przewiduje, że państwo to utraci niepodległość w ciągu 10 lat). Celem stały się wtedy strony rządu, partii politycznych, banków i gazet. W ostatnich dniach czerwca celem ataku stało się około 300 litewskich witryn - zamiast normalnych stron internautom wyświetlały się symbol sierpa i mlota, pięcioramienna gwiazda oraz hasła obraźliwe dla Litwy. Kiedy więc Aleksander Wieszniakow, ambasador Rosji w Rydze grozi m.in. Polsce, że pożaluje swego wsparcia dla Gruzji, to mógł mieć na myśli nie tylko zakręcenie kurka z gazem czy wojnę mięsną.

Google nie posiada takich problemów jak Gruzja, której rząd desperacko usiłuje przebić się z własną, anglojęzyczną informacją na Zachód. Dlatego gruziński rząd założył bloga na Bloggerze oraz korzysta z gościnności internetowej strony prezydenta Polski; mainstreamowe media traktują opublikowane tam informacje jako materiały źródłowe strony gruzińskiej i z nich korzystają. A wniosek z tego taki - konstatuje Dignan - że działania wojenne coraz częściej będą korzystały z cyberpistoletu. Kiedy to się dzieje, całe państwo dosyć szybko redukuje się do bloga. Niekoniecznie - ripostuje Jart Armin - są sposoby, i są wykorzystywane.

Wojna cybernetyczna jest tania i niemal nie zostawia śladow. Dlatego może tak się podobać wielu krajom, nawet tym z wielkimi i potężnymi armiami jak Rosja czy Chiny. Do chwili obecnej była praktykowana na relatywnie małą skalę, ale wkrótce możemy zostać świadkami potężniejszych i bardziej brutalnych ataków niż do tej pory widzieliśmy. Ale każdy kij ma dwa końce. Rosja może zasmakować tego samego, co robi innym: hakerzy żyją nie tylko w Moskwie.

Być może przeciwdziałanie cyberatakom będzie jednym z tematów dzisiejszej wizyty sześciu prezydentów: Polski, Litwy, Łotwy, Estonii, Ukrainy i Francji (która obecnie dzierży prezydenturę Unii Europejskiej ) w Tibilisi.

5 komentarzy:

  1. A u nas nie ma hakerów czy co? Te ruskie strony muszą wisieć w internecie czy nie muszą?

    OdpowiedzUsuń
  2. Światowa cyberwojna? Swoją drogą, to jest problem. Jak uznać takie ataki, szczegolnie jeśli hakerzy są na etatach Ministerstwa Wojny? Bush dal ciała, że nie powiedział ani słowka o ataku na ich name server. Moim zdaniem to był element normalnych dzialań wojennych. Jedni oślepiają radary, inni atakują serwery. W ramach tej samej kampanii

    OdpowiedzUsuń
  3. Cos z tym trzeba zrobić;) Pozdrawiam.

    OdpowiedzUsuń
  4. To zrób;) pozdrawiam nawzajem.

    PS. Od czasu opublikowania notki o RBN mamy problemy. Grozi Control C i utrata danych. Jak sadze, wyszukiwark a na slowa kluczowe to nic specjalnego, nietrudno znalezc, jak sie chce.

    OdpowiedzUsuń
  5. Ostrzeżenie: nie wchodźcie bez stosownego zabezpieczenia na strony RBN (te niepodlinkowane adresy, podane w artykule). Standardowy antyvir i firewall to za mało.

    OdpowiedzUsuń