Russisk mafia drev kyberkrig mot Georgia

En amerikansk rapport bekrefter mistanker som ble reist under fem dagers krigen i fjor.

En ideell organisasjon som leverer analyser av kyberangrep og kyberberedskap til amerikanske styresmakter, USCCU (US Cyber Consequences Unit), har ferdigstilt en rapport om de omfattende kyberangrepene mot Georgia under fem dagers krigen i august i fjor. Rapporten er skrevet av teknologidirektør John Bumgarner i USCCU, som har atten års erfaring fra kyberetterforskning i NSA (National Security Agency) og CIA.

Rapporten er på 100 sider, og er kun tilgjengelig for et begrenset antall personer øverst i den amerikanske forvaltningen. Presserapporter i blant annet IDG og Wall Street Journal bygger på en ni siders oppsummering som skal publiseres åpent, men som i skrivende stund ikke er lagt ut på nettet.

Krigen mellom Russland og Georgia ble utløst da Georgia angrep utbryterrepublikken Sør-Ossetia militært natt til 8. august i fjor. Russland var forberedt: De sendte øyeblikkelg tropper inn i både Sør-Ossetia og den andre utbryterrepublikken Abkhasia, angrep selve Georgia og okkuperte blant annet byene Poti og Gori. Kamphandlingene tok slutt da EU meklet fram en våpenhvile 12. august.

Samtidig med krigshandlingene, ble flere sentrale georgiske nettsteder satt ut av spill av tjenestenektangrep. Det gjaldt flere departementer, blant dem utenriksdepartementet, presidenten, nasjonalforsamlingen, nasjonalbanken og flere medier. Georgia anklaget formelt Russland for å stå bak. Vestlige IT-sikkerhetsselskaper sporet angrepene til servere tidligere kontrollert av «Russian Business Network» en organisasjon kjent for å være et webhotell for kriminelle, men understreket at det var umulig å stadfeste hvem som faktisk sto bak angrepet.

USCCU-rapporten sier de har bevis for at russisk mafia sto bak kyberangrepene mot Georgia. De har ikke lykkes i å avdekke noen forbindelse mellom angriperne og den russiske regjeringen, men sier at det sannsynligvis har vært en form for indirekte samspill, i og med at kyberangrepene startet få timer etter Georgias angrep mot Sør-Ossetia, men før dette angrepet ble rapportert gjennom vanlige medier.

Ifølge USCCU må kyberangrepene ha vært gjenstand for nitid planledding. Til sammen ble 54 georgiske nettsteder lammet. Den georgiske nasjonalbanken måtte kutte sin internettforbindelse i hele ti dager.

Ti servere fordelt på Russland og Tyrkia ble brukt til å koordinere flere tusen zombie-pc-er involvert i tjenestenektangrepene mot Georgia. Nettstedene til disse serverne var blitt registrert med falske ID-er og kredittkortinformasjon, stjålet fra ni amerikanere og en franskmann. USCCU bekrefter at serverne tidligere var blitt brukt av kyberkriminelle organisasjoner, men sier det er umulig å etablere noen direkte forbindelse til «Russian Business Network».

En hacket utgave av et gratis Microsoft-verktøy for nettadministrasjon spilte en viktig rolle i angrepet, ifølge USCCU. Rapporten nekter å opplyse hvilket verktøy det dreier seg om.

USCCU har videre avdekket at de sosiale tjenestene Facebook og Twitter ble brukt til å koordinere og utvide tjenestenektangrepene mot Georgia.

Rapporten understreker at kyberangrepene kunne vært langt mer ødeleggende enn de faktisk var, blant annet fordi kritisk infrastruktur ikke ble berørt. USCCU mener det tyder på at noen på russisk side har gitt hackerne klar beskjed om ikke å gå for langt.

En talsperson for den russiske ambassaden i USAs hovedstad sier til Wall Street Journal at den russiske regjeringen ikke har hatt noe med kyberangrepene å gjøre.

En talsperson for Facebook sier misbruk av tjenesten til ulovlige formål er vanskelig å motvirke, siden de ikke overvåker hva brukere forteller hverandre. Ifølge USCCU-rapporten ble Facebook brukt til å utveksle både kode og lister over nettsteder som skulle angripes.

    Les også:

Til toppen