Ciberataques da Geórgia ligados ao crime organizado russo

[Leitura adicional: Como remover malware do seu PC com Windows]

O relatório foi produzido principalmente através de investigações pelo CTO da Unidade de Consequências Cibernéticas dos EUA, John Bumgarner. Envolvia analisar uma série de dados coletados enquanto os ataques estavam ocorrendo e depois. Os dados incluíam registros de servidores de várias partes interessadas, alguns dos quais não compartilhavam informações entre si, disse Scott Borg, diretor e economista-chefe do instituto.

A Rússia lançou uma campanha militar de cinco dias em agosto de 2008 que correspondeu. com as tentativas da Geórgia de assegurar maior controle sobre as regiões da Ossétia do Sul e da Abkházia, que têm fortes laços com a Rússia. Os bombardeiros atingiram alvos em todo o país e, ao mesmo tempo, a mídia georgiana e os locais do governo foram atacados pelo DDOS.

Esse momento não parece ser uma coincidência. Os ataques foram executados com uma eficiência que indicava pré-planejamento, e os ataques cibernéticos também precederam as primeiras notícias da intervenção militar da Rússia, segundo o relatório. "Muitos dos ataques cibernéticos estavam tão próximos no tempo aos militares correspondentes. As operações tiveram que haver uma estreita cooperação entre as pessoas nas forças armadas russas e os cibercriminosos civis ", disse o relatório. "Muitas das ações realizadas pelos invasores, como registrar novos nomes de domínio e criar novos sites, foram realizadas tão rapidamente que todas as etapas tiveram que ser preparadas antes."

Borg disse que o instituto está confiante de que o governo russo não realizou diretamente os ataques. Mas está claro que a Rússia parecia estar alavancando nacionalistas civis que estavam prontos para realizar ações cibernéticas, talvez com algum encorajamento de baixo nível.

"Parece que a invasão militar estava levando em conta a ajuda que eles estavam prestes a receber … pelo ciberataque ", disse Borg.

Não está claro, no entanto, em que nível ocorreu a interação entre funcionários do governo russo e aqueles que executaram os ataques. Mas parece que a coordenação frouxa provavelmente se tornará parte do procedimento operacional padrão da Rússia a partir de agora, disse Borg.

Um total de 54 sites foram atacados, a maioria dos quais teria beneficiado a campanha militar russa por não funcionar, Borg disse. Ao fechar a mídia e os sites do governo, era mais difícil para a Geórgia comunicar ao público o que estava acontecendo. As transações financeiras foram interrompidas e o Banco Nacional da Geórgia teve que cortar sua conexão de Internet por 10 dias, segundo o relatório.

Sites de redes sociais ajudaram a recrutar voluntários que trocaram dicas em fóruns online em russo, com um idioma em inglês. fórum hospedado em San Francisco, o relatório disse. Computadores servidores que tinham sido usados ​​no passado para hospedar softwares maliciosos por gangues criminosas russas também foram usados ​​nos ataques.

"Parece que organizações criminosas russas não fizeram esforços para esconder seu envolvimento na campanha cibernética contra a Geórgia porque queriam para reivindicar crédito por isso ", disse o relatório.

Os ataques DDOS funcionam bombardeando um site com muitas solicitações de páginas, o que faz com que ele fique indisponível devido a problemas de largura de banda, a menos que medidas de segurança sejam tomadas. O ataque é executado por uma rede de bots ou por uma rede de PCs infectados por um código malicioso controlado por um hacker.

O código usado para comandar essas máquinas para atacar os sites parece ser personalizado especificamente para a campanha da Geórgia. relatório disse. Três dos programas de software utilizados foram projetados para testar sites da Web para ver quanto tráfego eles podem manipular.

Um quarto programa foi originalmente projetado para adicionar funções a sites da Web, mas foi alterado pelos hackers para solicitar páginas da Web inexistentes. Essa ferramenta, baseada em HTTP, provou ser mais eficiente do que os ataques baseados em ICMP (Internet Control Message Protocol) usados ​​contra a Estônia em 2007, segundo o relatório.

Outras evidências mostraram que a Geórgia poderia ter sido muito mais atingida. Algumas das infraestruturas críticas da Geórgia estavam acessíveis pela Internet. Embora os criminosos cibernéticos civis tivessem sinais de considerável perícia, "se os militares russos tivessem optado por se envolver diretamente, esses ataques estariam bem dentro de suas capacidades", disse o relatório.

"O fato de ataques cibernéticos fisicamente destrutivos não terem sido realizados". realizado contra as indústrias de infra-estrutura crítica da Geórgia sugere que alguém do lado russo estava exercendo uma restrição considerável ", disse.