Kiberháború zajlott a Kaukázusban

Kiberháború zajlott a Kaukázusban

2008. augusztus 14. 17:31, Csütörtök
Az Oroszország és Grúzia között lezajlott összecsapással párhuzamosan a hackerek az interneten is frontot nyitottak. Habár már elrendelték a tűzszűnetet, a grúz szerverek még mindig hallgatnak, lehetetlenné téve a kommunikációt. A grúz hivatalnokok, bloggerek és állampolgárok amerikai, lengyel, észt szervereket használva próbálnak kitörni a blokádból.

Az interneten hetekkel a Grúziában kitört fegyveres harcok előtt, már július 20-án kitört a háború. A grúz elnök, Miheil Szaakasvili honlapja nem volt képes kiszolgálni a hirtelen rázúduló milliónyi lekérdezést, a DDoS támadás egy teljes napra elérhetetlenné tette az oldalt. A kártékony netes tevékenységeket regisztráló Shadowserver kutatói szerint azt az Egyesült Államokból koordinálták, egy olyan szerverről, melyet alig pár héttel a támadás előtt állítottak üzembe.

Indokolt a következtetés, miszerint ez a grúz-orosz háború előtti főpróba volt. Szakértők szerint ez volt az első kibertámadás, amely egy reguláris seregek közötti tényleges összecsapást megelőzően, ahhoz kapcsolódva történt. De biztosan nem az utolsó ilyen, véli Bill Woodcock, az internetforgalmat monitorozó Packet Clearing House igazgatója. Elmondása szerint a hackertámadások annyira olcsók, és oly egyszerű, mindössze néhány kattintás kivitelezni őket, hogy biztosan bevonulnak a modern hadviselés eszköztárába. "Gépenként körülbelül 4 centbe kerül. Egy tank lánctalpának árából finanszírozni lehet egy hadjáratot, butaság lenne nem élni vele." - nyilatkozta.

Biztonsági szakértők szerint médiacégek, kommunikációs és szállítási vállalatok honlapjait is lebénították. A Shadowserver közlése szerint a támadások az orosz csapatok Dél-Oszétiába való behatolása után szaporodtak meg, például a Grúz Nemzeti Bank honlapján 20. századi diktátorok társaságában jelent meg Szaakasvili portréja. Bizonyíték van arra, hogy nem csak honlapok lebénítása történt, hanem orosz telekommunikációs cégek internetes címeket is átirányítottak. A - már elérhetetlen - stopgeorgia.ru címen DDoS támadásra szolgáló szoftvereket lehetett letölteni.


A támadások elkövetői persze nem ismertek; a grúz kormány az oroszokat vádolja, az orosz kormány szerint viszont nincs közük az akciókhoz. Az orosz kormány szóvivője csak annyit mondott, hogy elképzelhető, hogy oroszországi, vagy más magánszemélyek kivitelezték a támadásokat. "Nem zárhatjuk ki ezt a lehetőséget" - vélte a washingtoni orosz nagykövetség szóvivője. "Vannak emberek, akik nem értenek egyet valamivel, és ezt ki akarják nyilvánítani. Az Egyesült Államokban is vannak ilyen emberek."

A botnet hálózatokat figyelő amerikai rendszergazdák közölték, hogy ezeket az egyébként csak spamküldésre használatos zombigépeket is aktivizálták, mely mögött a szentpétervári székhelyű bűnbanda, a Russian Business Network állhat. "A támadók ugyanazokat az eszközöket és utasításokat használták a grúz gépek ellen, mint az R.B.N." - nyilatkozta Don Jackson, a SecureWorks igazgatója. Közlése szerint a botneteket előre felkészítették a támadásra, majd röviddel az orosz légicsapásokat megelőzően léptek működésbe.

Persze nincs bizonyíték arra, hogy az akció mögött az R.B.N. állna, és arra sincs, hogy az orosz kormánynak bármilyen befolyása lenne rá. A csoport az online bűnözés minden szegmensében képviselteti magát, a gyerekpornótól kezdve az identitáslopáson át a reklámlevelek küldéséig. A homályos szerep ellenére a kapcsolattal mások is egyetértenek. "Azt tapasztaltuk, hogy a támadások általunk már ismert helyekről érkeznek" - mondta Paul Ferguson, a Trend Micro kutatója.

Az Arbor Networks szakértője, Jose Nazario csak annyit ír a helyzetről: "Míg sokan spekulálnak a kiberhadviselésről és az állami beavatkozásokról, addig ezekre senkinek semmilyen bizonyítéka nincs. Látunk számos botnetet, már ismerteket és kevésbé ismerteket, melyek grúz honlapokat céloznak. A támadások többsége TCP SYN flood, némi TCP RST flooddal vegyítve. Semmilyen ICMP vagy UDP támadás nem történt. A támadások mindegyikének forrása globális, ami azt mutatja hogy botnettől (vagy botnetektől) származnak."

Mivel a mindössze 4,6 millió lakosú Grúziában még fejletlen az internet, a kormányzati honlapok elérhetetlensége kevés hatással járt, csak a hivatalos kommunikációt, az oroszok elleni harc propagandáját hátráltatta némileg. Grúzia 234 ország közül a 74. helyen szerepel az internetcímek mennyisége terén, olyan országok mögött, mint Nigéria, Banglades, Bolívia vagy El Salvador. Egy hasonló internetes támadás sokkal nagyobb károkat tud okozni a fejlettebb országokban, mint Izrael, Észtország és persze az Egyesült Államok, amelyekben fontos logisztikai, kereskedelmi és közműhálózatok is befolyásolhatók.

Grúzia az ország földrajzi helyzetéből fakadóan csak két szomszédján keresztül kapcsolódhat az internetre, Oroszországon és Törökországon keresztül. Előbbi nyilvánvalóan veszélyeztetett, utóbbi kapcsolatot pedig a kurd szeparatisták vághatják el. A helyzet megoldását egy Fekete-tenger alatti, Bulgáriába tartó optikai kábel segíti majd, mely közvetlen kapcsolatot teremt számukra Európa hálózataival. Az ország másik nagy gyengesége a belső kapcsolódási központ hiánya. Nincs olyan, mint nálunk a BIX, azaz ha egy grúz internetező meg akar nézni egy grúz honlapot, akkor a lekérdezés előtte áthalad egy másik országon, majd onnan jut vissza hozzá.


"Méretét és a nemzetközi dimenziókat tekintve mérföldkő ez a támadás" - nyilatkozta a Washington Postnak Ronald J. Deibert, a Toronto Egyetem igazgatója. Elmondása szerint már június óta történtek kisebb összecsapások a két ország között. "A nemzetközi törvények nem vonatkoznak ilyen esetekre, ismeretlen területen járunk. Egy információs blokád háborús cselekménynek számít?" - tette fel a kérdést. "A mai csaták sokkal inkább eszmékről és fogalmakról szólnak, mint területekről. A katonai hírszerzésnek az a feladata, hogy megakadályozza az ellenséget az információközlésben, és ő kontrollálja a híreket."

"Lehet ez valamilyen közvetett orosz akció? Igen, de tekintve, hogy Oroszország valódi bombákat is használ, támadhattak volna fontosabb célpontokat is, fizikailag semmisítve meg az infrastruktúrát" - mondta Gadi Evron izraeli hálózati szakértő. "Nem tiszta, mi történt." Közlése szerint ugyan a támadás egyértelműen politikai vonzatú, de nem különbözik semmiben a többi online szférában zajló, szimpatizánsok által végzett összecsapástól.

Azonban nem csak a DDoS támadásokról van szó, hanem propagandáról, és még lényegesebb: az időzítés. A legkomolyabb akciók közvetlenül azelőtt kezdődtek, hogy a tankok megindultak volna, pedig már korábban felkészültek a botnetek. A célpontok pedig Goriban lévő kormányzati honlapok, helyi híroldalak. "Honnan tudták, hogy Gorit fogják bombázni, nem a fővárost?" - teszi fel a kérdést Don Jackson. "Csak azt tudom mondani, amit tapasztaltam, állítom, hogy az orosz kormány valamilyen szinten koordinálta az eseményeket, különösen az időzítést és a támadások célpontjait illetően."

Lényeges elem, hogy a támadások mögött valóban az orosz kormány áll-e. A konfliktusok legalapvetőbb szabálya, hogy mind a támadó, mind a védő fél egyértelműen azonosítsa a másikat. A történelem folyamán ez eddig nem okozott nagy gondot, de a terrorista-taktika térhódításával az ellenfek ködbe burkolóznak, mind egyéni, mind nemzeti szinten. A kiberháború ezt emeli újabb szintre. A szemünk előtt zajlik a kéretlen reklámleveleket küldő iparág evolúciója, és végeredményben a kormányzat csak egy újabb vásárló számukra.

Hogyan tudja egy megtámadott ország meghatározni, hogy a támadást egy másik nemzet, vagy csupán politikailag nem azonos platformon lévő magánszemélyek bonyolították le? Ezen kérdések megválaszolása egyre sürgetőbb, mivel ugyan a szakértők képesek utólagos elemzésekre, de messze az aktuális események mögött kullognak. Az internet szerepe, mint globális kommunikációs hálózat egyre nő, és elérésének gyakorlati és pszichológiai szerepe egyre fontosabb.

Listázás a fórumban 
Adatvédelmi beállítások