„Czarna Gwiazda” – jeszcze cyberprzestępczość czy już cyberwojna?
Pamiętne słowa Carla von Clausewitza, który stwierdził, że wojna jest jedynie kontynuacją polityki innymi środkami, nabrały nowego znaczenia. W czasach gdy niemal cały świat jest podpięty do Internetu, trudno określić, gdzie kończy się cyberprzestępczość, a zaczynają działania wojenne.
Pamiętne słowa Carla von Clausewitza, który stwierdził, że wojna jest jedynie kontynuacją polityki innymi środkami, nabrały nowego znaczenia. W czasach gdy niemal cały świat jest podpięty do Internetu, trudno określić, gdzie kończy się cyberprzestępczość, a zaczynają działania wojenne.
Polska pomaga Gruzji podczas wojny z Rosją
Gdy w 2008 roku rozpoczęła się wojna pomiędzy Gruzją a Rosją, Abchazją i Osetią Południową, pole bitwy nie ograniczyło się jedynie do Cchinwali, Gori i innych, chętnie pokazywanych w telewizji rejonów, gdzie mogliśmy zobaczyć kolumny wozów bojowych i malowniczo dymiące zgliszcza.
Mniej znanym, choć chyba równie istotnym jak cała reszta epizodem tej wojny był przypisywany Rosjanom atak przeprowadzony w Internecie. Doprowadził on do paraliżu oficjalnych gruzińskich serwisów i blokady informacyjnej. Jej rezultatem było uniemożliwienie Gruzji prezentowania własnego stanowiska i przedstawianie światu konfliktu przede wszystkim z rosyjskiego punktu widzenia.
Wraz z rozpoczęciem walk na rosyjskich stronach pojawiły się narzędzia i instrukcje pozwalające na przyłączenie się do ataku osobom bez żadnej wiedzy technicznej, podobnie jak w przypadku wcześniejszego o rok internetowego paraliżu Estonii. Na skutek ataków DDoS przestały działać m.in. oficjalne strony rządowe, serwisy stacji telewizyjnych i agencji prasowych i strona policji.
Broniąc się przed tymi atakami, Gruzini przenieśli część zaatakowanych stron na serwery zlokalizowane w Stanach Zjednoczonych. Pomoc nadeszła również z Polski. Kancelaria Prezydenta udostępniła Gruzinom stronę President.pl, na której mogli zamieszczać oficjalne informacje o sytuacji w Gruzji.
Georbot szpieguje urzędników
Celem Georbota byli przede wszystkim gruzińscy urzędnicy i osoby zaangażowane we współpracę tego kraju z Zachodem. Linki, których kliknięcie prowadziło do infekcji, umieszczano przede wszystkim w artykułach dotyczących m.in. współpracy Gruzji z NATO. Co więcej, Georbot infekował jedynie komputery pracujące w strefie czasowej UTC+3 i UTC+4, czyli tej, w której znajduje się Gruzja.
Trojan okazał się skuteczny. Co prawda zainfekował jedynie kilkaset komputerów, ale były to sprzęty znajdujące się w ministerstwach, parlamencie czy organizacjach pozarządowych. Jego celem było szpiegowanie: mógł nagrywać obraz i dźwięk, a na zainfekowanym komputerze poszukiwał dokumentów zawierających słowa kluczowe związane z polityką i obronnością i wysyłał je na wskazany serwer.
Polacy pomagają schwytać włamywacza
Po ujawnieniu Georbota do akcji ruszył Gruziński CERT. Postanowiono pokonać włamywacza jego własną bronią i na jednym z zainfekowanych komputerów podłożono archiwum z dokumentem „Porozumienie Rosja-NATO”, do którego dołączono zmodyfikowanego Georbota.
Dzięki temu gruziński CERT miał możliwość przeszukania komputera włamywacza, zrobienia mu serii zdjęć i pobrania zrzutów ekranu, jak również przejęcia kontroli nad serwerem C&C (command and control). Co więcej, okazało się, że serwer, na który trafiały wykradzione z Gruzji materiały, znajduje się pod adresem sąsiadującym z FSB (Federalna Służba Bezpieczeństwa Federacji Rosyjskiej).
Choć włamywacz szybko odkrył podstęp, a Gruzinom nie udało się ustalić jego personaliów, cała akcja została uznana za sukces i potwierdziła, że za wrogimi działaniami stoją Rosjanie. Co istotne, gruziński CERT uzyskał podczas swoich działań międzynarodową pomoc. Korzystał m.in. ze wsparcia FBI, Microsoftu i polskiego CERT-u. W Sieci pojawił się również raport dotyczący tego incydentu.
Czarna Gwiazda - z dużej chmury mały deszcz?
Jak podała rosyjska agencja Interfax, celem Czarnej Gwiazdy jest wykradanie dokumentów należących do różnych instytucji, polityków i służb związanych z bezpieczeństwem i publikowanie ich w Sieci. Działania włamywaczy mają wynikać z tyranii rosyjskich władz izolujących obywateli od świata.
No cóż, o ile informacja o "wypowiedzeniu Rosji wojny" była jakiś czas temu gorącym newsem wszystkich serwisów informacyjnych, solidarnie powtarzających bzdury o "milionie dokumentów wykradzionych z FBA" (w rzeczywistości chodziło o milion rekordów dotyczących użytkowników różnych serwisów - tu znajdziecie więcej informacji na ten temat), warto zastanowić się, czy było to coś więcej, niż zwykła kaczka dziennikarska.
Od intrygującej zapowiedzi minęło już przecież trochę czasu, a rosyjskich tajnych dokumentów jak nie było w Sieci, tak nie ma. Grupa GhostShell opublikowała za to, podobnie jak poprzednio, dane użytkowników różnych rosyjskich serwisów (linki do paczek znajdziecie na tej stronie). Wygląda na to, że prawdziwej cyberwojny z Rosją chyba nikt nie ma zamiaru ryzykować.
Źródło: Zaufana Trzecia Strona • Rzeczpospolita • Gazeta • TVN24 • Info Security
