Cyberangriffe während des Russisch-Georgischen Krieges - Cyberattacks during the Russo-Georgian War
| Russisch-Georgischer Krieg |
|---|
.svg) |
| Hauptthemen |
| verwandte Themen |
   
|
Während des Russisch-Georgischen Krieges überschwemmte und deaktivierte eine Reihe von Cyberangriffen die Websites zahlreicher südossetischer , georgischer , russischer und aserbaidschanischer Organisationen. Die Angriffe wurden drei Wochen vor Beginn des Schießkriegs eingeleitet, was als "der erste Fall in der Geschichte eines koordinierten Cyberspace-Domain-Angriffs gilt, der mit größeren Kampfhandlungen in den anderen Warfighting-Domains (bestehend aus Land, Luft, See und Weltraum) synchronisiert wurde). ."
Anschläge
Bereits am 20. Juli 2008, Wochen vor der russischen Invasion Georgiens, griffen „Zombie“-Computer Georgien an. Die Website des georgischen Präsidenten Micheil Saakaschwili wurde ins Visier genommen, was zu einer Überlastung der Website führte. Der auf die Website geleitete Verkehr enthielt die Phrase "win+love+in+Rusia". Die Seite wurde dann für 24 Stunden heruntergefahren.
Am 5. August 2008 wurden die Websites der Nachrichtenagentur OSInform und OSRadio gehackt. Die OSinform-Website unter osinform.ru behielt ihre Kopfzeile und ihr Logo bei, aber ihr Inhalt wurde durch den Inhalt der Alania TV-Website ersetzt. Alania TV, ein von der georgischen Regierung unterstützter Fernsehsender, der sich an ein Publikum in Südossetien richtet, bestritt jegliche Beteiligung an dem Hacken der Website der rivalisierenden Nachrichtenagentur. Dmitri Medojew , der südossetische Gesandte in Moskau , behauptete, Georgien habe versucht, den Tod von 29 georgischen Soldaten während des Aufflammens am 1. und 2. August zu vertuschen.
Am 5. August Baku-Tiflis-Ceyhan - Pipeline war Gegenstand einer Terroranschlag in der Nähe von Refahiye in der Türkei , die Verantwortung für die ursprünglich von genommen wurde Arbeiterpartei Kurdistans (PKK) , aber es gibt Indizien , dass es stattdessen eine hoch entwickelte Computer - Angriff auf Linie war Kontroll- und Sicherheitssysteme, die zu erhöhtem Druck und Explosion führten.
Laut Jart Armin, einem Forscher, standen viele georgische Internetserver seit Ende des 7. August 2008 unter externer Kontrolle. Am 8. August erreichten die DDoS-Angriffe ihren Höhepunkt und die Verunstaltungen begannen.
Am 9. August 2008 wurden Berichten zufolge wichtige Teile des georgischen Internetverkehrs über Server in Russland und der Türkei umgeleitet, wo der Datenverkehr entweder blockiert oder umgeleitet wurde. Die russischen und türkischen Server wurden angeblich von russischen Hackern kontrolliert. Noch am selben Tag konnten die Netzadministratoren in Deutschland einen Teil des georgischen Internetverkehrs temporär direkt auf Server der Deutschen Telekom AG umleiten. Innerhalb von Stunden wurde der Verkehr jedoch wieder auf Moskauer Server umgeleitet.
Am 10. August 2008 wurde die Website der Nachrichtenagentur RIA Novosti für mehrere Stunden durch eine Reihe von Angriffen gesperrt. Maxim Kuznetsov, Leiter der IT-Abteilung der Agentur, sagte: "Die DNS-Server und die Site selbst wurden schwer angegriffen."
Am 10. August warnte Jart Armin, dass georgische Websites, die online waren, gefälscht sein könnten. „Seien Sie vorsichtig mit Websites, die von einer offiziellen Quelle aus Georgia stammen, aber keine aktuellen Nachrichten enthalten [wie die vom Samstag, 9. August oder Sonntag, 10. August], da diese betrügerisch sein können“, sagte er.
Bis zum 11. August 2008 wurde die Website des georgischen Präsidenten unkenntlich gemacht und Bilder veröffentlicht, in denen Präsident Saakaschwili mit Adolf Hitler verglichen wurde . Dies war ein Beispiel für Cyber-Kriegsführung in Kombination mit PSYOPs. Auch die Website des georgischen Parlaments wurde ins Visier genommen. Auch einige georgische kommerzielle Websites wurden angegriffen. Am 11. August beschuldigte Georgien Russland, gleichzeitig mit einer Militäroffensive auf georgischen Regierungswebsites einen Cyberkrieg geführt zu haben. Das Außenministerium Georgiens sagte in einer Erklärung: "Eine Cyberkriegskampagne Russlands stört viele georgische Websites ernsthaft, einschließlich der des Außenministeriums." Ein Kreml-Sprecher wies den Vorwurf zurück und sagte: "Im Gegenteil, eine Reihe von Internetseiten russischer Medien und offizieller Organisationen sind Opfer konzertierter Hackerangriffe geworden." Das Außenministerium hat als temporäre Seite einen Blog im Blogger-Dienst von Google eingerichtet. Die Website des georgischen Präsidenten wurde auf US-Server verschoben. Die Website der georgischen Nationalbank war einmal verunstaltet und Bilder von Diktatoren des 20. Jahrhunderts sowie ein Bild des georgischen Präsidenten Saakaschwili platziert worden. Die Website des georgischen Parlaments wurde von der "South Ossetia Hack Crew" verunstaltet und der Inhalt durch Bilder ersetzt, die Präsident Saakaschwili mit Hitler vergleichen.
Estland bot Hosting für die Website der georgischen Regierung und für Cyberverteidigungsberater an. Ein Sprecher des estnischen Entwicklungszentrums für staatliche Informationssysteme sagte jedoch, Georgien habe keine Hilfe angefordert. "Dies wird von der Regierung entschieden", sagte er. Es wurde berichtet, dass die Russen die Telekommunikationsinfrastruktur Georgiens, einschließlich Mobilfunkmasten, bombardierten. Private US-amerikanische Unternehmen unterstützten die georgische Regierung auch dabei, ihre nicht kriegstreibenden Informationen wie die Gehaltsliste der Regierung während des Konflikts zu schützen.
Russische Hacker griffen auch die Server der aserbaidschanischen Nachrichtenagentur Day.Az an. Der Grund war die Position von Day.Az bei der Berichterstattung über den russisch-georgischen Konflikt. Auch ANS.az, eine der führenden Nachrichten-Websites in Aserbaidschan, wurde angegriffen. Auch russische Geheimdienste hatten während des Krieges die Informationsseiten Georgiens deaktiviert. Die georgische Nachrichtenseite Civil Georgia hat ihren Betrieb auf eine der Blogspot-Domains von Google umgestellt. Trotz der Cyberangriffe gelang es georgischen Journalisten, über den Krieg zu berichten. Viele Medienschaffende und Bürgerjournalisten richten Blogs ein, um über den Krieg zu berichten oder zu kommentieren.
Der US-Präsidentschaftskandidat Barack Obama forderte von Russland, die Internet-Angriffe zu stoppen und einen Waffenstillstand vor Ort einzuhalten. Der polnische Präsident Lech Kaczyński sagte, Russland sperre georgische "Internetportale", um seine militärische Aggression zu ergänzen. Er bot Georgien seine eigene Website an, um bei der "Verbreitung von Informationen" zu helfen. Reporter ohne Grenzen verurteilte die Verstöße gegen die Informationsfreiheit im Internet seit dem Ausbruch der Feindseligkeiten zwischen Georgien und Russland. "Das Internet ist zu einem Schlachtfeld geworden, auf dem Informationen das erste Opfer sind", hieß es.
Bei den Angriffen handelte es sich um Denial-of-Service-Angriffe . Die New York Times berichtete am 12. August, dass es nach Ansicht einiger Experten das erste Mal in der Geschichte war, dass ein bekannter Cyberangriff mit einem Schießkrieg zusammenfiel. Am 12. August wurden die Angriffe fortgesetzt, die von Programmen kontrolliert wurden, die sich in Hosting-Zentren befanden, die von einem russischen Telekommunikationsunternehmen kontrolliert wurden. Eine russischsprachige Website, stopgeorgia.ru, wurde weiterhin betrieben und bot Software für Denial-of-Service-Angriffe an.
Am 14. August 2008 wurde berichtet, dass, obwohl ein Waffenstillstand erreicht wurde, wichtige georgische Server immer noch ausgefallen waren, was die Kommunikation in Georgien behinderte.
Analyse
Die russische Regierung wies die Vorwürfe zurück, hinter den Anschlägen zu stehen, und erklärte, es sei möglich, dass "Personen in Russland oder anderswo es auf sich genommen haben, die Angriffe zu starten". Einige Quellen haben vorgeschlagen, dass die in Sankt Petersburg ansässige kriminelle Bande, bekannt als das Russian Business Network (RBN), hinter vielen dieser Cyberangriffe steckt. RBN galt als eines der weltweit schlimmsten Hosting-Netzwerke für Spammer, Kinderpornografie, Malware, Phishing und Cyberkriminalität. Es wird angenommen, dass der Anführer und Schöpfer des RBN, bekannt als Flyman, der Neffe eines mächtigen und gut vernetzten russischen Politikers ist.
Dancho Danchev , ein bulgarischer Internet-Sicherheitsanalyst, behauptete, dass die russischen Angriffe auf georgische Websites „alle Erfolgsfaktoren für die vollständige Auslagerung der Bandbreitenkapazität und der rechtlichen Verantwortung an den durchschnittlichen Internetnutzer“ nutzten.
Jose Nazario, Sicherheitsforscher für Arbor Networks, sagte gegenüber CNET, dass er Beweise dafür sehe, dass Georgien auf die Cyberangriffe reagiert und mindestens eine Moskauer Zeitungssite angreift.
Don Jackson, Director of Threat Intelligence bei SecureWorks, einem Computersicherheitsunternehmen mit Sitz in Atlanta, bemerkte, dass Computerforscher im Vorfeld des Krieges am Wochenende beobachtet hatten, wie Botnets zur Vorbereitung des Angriffs "inszeniert" wurden, und dann kurz vor Beginn der russischen Luftangriffe am 9. August aktiviert. Laut Jackson verlieh dies der Idee Glaubwürdigkeit, dass die russische Regierung tatsächlich hinter dem Angriff steckte und nicht die RBN. Darüber hinaus stellte Jackson fest, dass sich nicht alle Computer, die georgische Websites angriffen, auf RBN-Servern befanden, sondern auch auf "Internetadressen von staatlichen Telekommunikationsunternehmen in Russland".
Gadi Evron, der ehemalige Chef des israelischen Computer Emergency Response Teams , glaubte, dass die Angriffe auf die georgische Internetinfrastruktur eher einem Cyber-Aufstand als einem Cyber-Krieg ähnelten. Evron räumte ein, dass es sich bei den Angriffen um "indirekte russische (militärische) Aktionen" handeln könnte, wies jedoch darauf hin, dass die Angreifer "weitere strategische Ziele hätten angreifen oder die (georgische Internet-)Infrastruktur kinetisch ausschalten können". Shadowserver registrierte sechs verschiedene Botnets, die an den Angriffen beteiligt waren, die jeweils von einem anderen Kommandoserver kontrolliert wurden.
Jonathan Zittrain, Mitbegründer des Berkman Center for Internet and Society in Harvard, sagte, das russische Militär habe definitiv die Mittel, um Georgiens Internet-Infrastruktur anzugreifen. Bill Woodcock, der Forschungsdirektor bei Packet Clearing House, einer in Kalifornien ansässigen gemeinnützigen Gruppe, die Internet-Sicherheitstrends verfolgt, sagte, die Angriffe trugen das Zeichen eines "ausgebildeten und zentral koordinierten Kaders von Fachleuten". Russische Hacker brachten auch die russische Zeitung Skandaly.ru zu Fall, die angeblich eine pro-georgische Stimmung zum Ausdruck brachte. "Dies war das erste Mal, dass sie im Rahmen eines Angriffs ein internes und ein externes Ziel angegriffen haben", sagte Woodcock. Gary Warner, ein Experte für Cyberkriminalität an der University of Alabama in Birmingham, sagte, er habe "Kopien des Angriffsskripts" (gegen Georgia verwendet) mit Gebrauchsanweisungen gefunden, die in den Leserkommentaren am Ende praktisch jeder Geschichte veröffentlicht wurden in den russischen Medien. Bill Woodcock sagte auch, dass Cyberangriffe so billig und einfach zu inszenieren sind, mit wenigen Fingerabdrücken, dass sie fast definitiv als Merkmal der modernen Kriegsführung bleiben würden.
Der Economist schrieb, dass jeder, der an dem Cyberangriff auf Georgien teilnehmen möchte, dies von überall mit einer Internetverbindung tun kann, indem er eine der pro-russischen Websites besucht und die Software und Anweisungen herunterlädt, die für einen verteilten Denial-of-Service-Angriff erforderlich sind(DDoS)-Angriff. Eine Website namens StopGeorgia bot ein Dienstprogramm namens DoSHTTP sowie eine Liste von Zielen, darunter georgische Regierungsbehörden und die britischen und amerikanischen Botschaften in Tiflis. Um einen Angriff zu starten, musste lediglich die Adresse eingegeben und auf eine Schaltfläche mit der Aufschrift "Start Flood" geklickt werden. Die StopGeorgia-Website zeigte auch an, welche Zielseiten noch aktiv waren und welche zusammengebrochen waren. Andere Websites erklärten, wie man einfache Programme schreibt, um eine Flut von Anfragen zu senden, oder boten speziell formatierte Webseiten an, die so eingestellt werden konnten, dass sie sich immer wieder neu laden und bestimmte georgische Websites mit Verkehr sperrten. Es gab keine schlüssigen Beweise dafür, dass die Angriffe von der russischen Regierung ausgeführt oder sanktioniert wurden, und es gab auch keine Beweise dafür, dass sie versuchte, sie zu stoppen.
Im März 2009 kamen Sicherheitsforscher von Greylogic zu dem Schluss, dass Russlands GRU und der FSB wahrscheinlich eine Schlüsselrolle bei der Koordination und Organisation der Angriffe gespielt haben. Das Forum Stopgeorgia.ru war eine Front für staatlich geförderte Angriffe.
John Bumgarner, Mitglied der United States Cyber Consequences Unit (US-CCU), recherchierte über die Cyberangriffe während des Russisch-Georgischen Krieges. Der Bericht kam zu dem Schluss, dass die 2008 von russischen Hackern durchgeführten Cyberangriffe auf Georgien die Notwendigkeit einer internationalen Zusammenarbeit im Bereich der Sicherheit gezeigt haben. In dem Bericht heißt es, dass die Organisatoren der Cyber-Angriffe über die militärischen Pläne Russlands Bescheid wussten, aber die Angreifer selbst sollen Zivilisten gewesen sein. Bumgarners Forschung kam zu dem Schluss, dass die erste Welle von Cyberangriffen gegen georgische Medienseiten mit Taktiken übereinstimmt, die bei Militäroperationen verwendet werden. „Die meisten der in der Kampagne verwendeten Cyberangriffstools scheinen bis zu einem gewissen Grad speziell für die Kampagne gegen Georgien geschrieben oder angepasst worden zu sein“, heißt es in der Studie. Zwar schienen die Cyber-Angreifer im Voraus über die Invasion informiert worden zu sein und von einer engen Zusammenarbeit mit den staatlichen Institutionen zu profitieren, aber es gab keine Fingerabdrücke, die die Angriffe direkt mit der russischen Regierung oder dem Militär in Verbindung brachten.