Odciski niedźwiedzia czy michałki medialne?

Don Jackson, dyrektor działu zbierania informacji o zagrożeniach w SecureWorks powiedział w wywiadzie dla eWEEK, że prawdopodobnie wiele frakcji pociąga za cyfrowe sznurki sterujące atakami. W Gruzji zebrano logi, które świadczą o kontaktach botów z serwerami C&C zlokalizowanymi w klasach adresowych zarejestrowanych na firmy państwowe Rosji, które wcześniej nie przejawiały aktywności związanej z botnetami. Te serwery również były źródłem prób DNS cache poisoning. Również część Tureckiej sieci kontrolowana przez RBN (Russian Business Network) była zaangażowana.

"Bardzo łatwo" powiązać atak internetowy z Rosyjskim wojskiem, jednak expert Gadi Evron mówi ,że dowody świadczą inaczej."Gdyby Rosjanie chcieli wyeliminować Internet w Gruzji to zrobiliby to fizycznie. Tego typu ataki są codziennością przy okazji napięć politycznych różnego rodzaju. Różnicą przy tym ataku jest to, że Gruzińskie władze nie były przygotowane, jak dziesiątki innych na świecie. Jeżeli faktycznie nie jest to wojsko to prawdopodobnie były to dzieci - amatorzy(rosyjscy "script kiddies").Niezależnie czy jest to oficjalna wojna cybernetyczna, na pewno wiemy, że przy okazji konfliktu istnieje wojna medialna i propagandowa. Wystarczy porównać skrajnie wybiórcze informacje obu stron konfliktu"

Istnieje wiele doniesień medialnych wokół tej "cyber wojny". Na przykład to, że hakerzy mający na celowniku Gruzje próbują zbudować nowy botnet rozsyłając spam z wiadomościami wykorzystującymi szokujące treści o charakterze anty Gruzińskim przy pomocy nisko wykrywalnego malware (4/36 skanerów antywirusowych, wariant Trojan.Blusod).Ale czy to przypadkiem nie jest zwykłe dostosowanie się do okoliczności jakie widzimy często?

Ciekawe z technicznego punktu widzenia są informacje zebrane przez Arbor Networks na temat ataków. Największy atak miał intensywność 814.33 Mbps,średni 211.66 Mbps.Najdłuższy atak DDoS 6 godzin, średnio 2 godziny 15 min. Ataki były głównie TCP SYN flood. Po więcej informacji na ten temat warto odwiedzić http://asert.arbornetworks.com/2008/08/georgia-ddos-attacks-a-quick-summ...

Na uwagę zasługuje również za ciekawe powiązanie sieci światłowodowych z rurociągami (można zaobserwować uszkodzenie rurociągu w internecie) i analizę routingu oraz dostępności klas adresowych w Gruzji: http://www.renesys.com/blog/2008/08/georgia_clings_to_the_net.shtml

A następny post na powyższym blogu zawiera statystyki niedostępności i niestabilności Gruzińskiej sieci, aż do 15.08 godzina 14:00.

Shadowserver.org sugeruje ,że idąc za przykładem wielu "Rosyjskich patriotów" masowo pinguje Gruzińskie strony przy pomocy skryptów rozprzestrzenianych na forach i blogach jako war.bat lub war.rar.

Realizacja: SIPLEX Studio