„Czarna Gwiazda” – jeszcze cyberprzestępczość czy już cyberwojna?

„Czarna Gwiazda” – jeszcze cyberprzestępczość czy już cyberwojna?
13.11.2012 10:18
Zdjęcie z Osetii Południowej (Fot. Armyrecognition.com)
Zdjęcie z Osetii Południowej (Fot. Armyrecognition.com)

Pamiętne słowa Carla von Clausewitza, który stwierdził, że wojna jest jedynie kontynuacją polityki innymi środkami, nabrały nowego znaczenia. W czasach gdy niemal cały świat jest podpięty do Internetu, trudno określić, gdzie kończy się cyberprzestępczość, a zaczynają działania wojenne.

Pamiętne słowa Carla von Clausewitza, który stwierdził, że wojna jest jedynie kontynuacją polityki innymi środkami, nabrały nowego znaczenia. W czasach gdy niemal cały świat jest podpięty do Internetu, trudno określić, gdzie kończy się cyberprzestępczość, a zaczynają działania wojenne.

Polska pomaga Gruzji podczas wojny z Rosją

Gdy w 2008 roku rozpoczęła się wojna pomiędzy Gruzją a Rosją, Abchazją i Osetią Południową, pole bitwy nie ograniczyło się jedynie do Cchinwali, Gori i innych, chętnie pokazywanych w telewizji rejonów, gdzie mogliśmy zobaczyć kolumny wozów bojowych i malowniczo dymiące zgliszcza.

Rosyjskie czołgi w Południowej Osetii (Fot. RussiaBlog.org)
Rosyjskie czołgi w Południowej Osetii (Fot. RussiaBlog.org)

Mniej znanym, choć chyba równie istotnym jak cała reszta epizodem tej wojny był przypisywany Rosjanom atak przeprowadzony w Internecie. Doprowadził on do paraliżu oficjalnych gruzińskich serwisów i blokady informacyjnej. Jej rezultatem było uniemożliwienie Gruzji prezentowania własnego stanowiska i przedstawianie światu konfliktu przede wszystkim z rosyjskiego punktu widzenia.

Wraz z rozpoczęciem walk na rosyjskich stronach pojawiły się narzędzia i instrukcje pozwalające na przyłączenie się do ataku osobom bez żadnej wiedzy technicznej, podobnie jak w przypadku wcześniejszego o rok internetowego paraliżu Estonii. Na skutek ataków DDoS przestały działać m.in. oficjalne strony rządowe, serwisy stacji telewizyjnych i agencji prasowych i strona policji.

Broniąc się przed tymi atakami, Gruzini przenieśli część zaatakowanych stron na serwery zlokalizowane w Stanach Zjednoczonych. Pomoc nadeszła również z Polski. Kancelaria Prezydenta udostępniła Gruzinom stronę President.pl, na której mogli zamieszczać oficjalne informacje o sytuacji w Gruzji.

Georbot szpieguje urzędników

Georbot infekował tylko w określonych strefach czasowych
Georbot infekował tylko w określonych strefach czasowych

Celem Georbota byli przede wszystkim gruzińscy urzędnicy i osoby zaangażowane we współpracę tego kraju z Zachodem. Linki, których kliknięcie prowadziło do infekcji, umieszczano przede wszystkim w artykułach dotyczących m.in. współpracy Gruzji z NATO. Co więcej, Georbot infekował jedynie komputery pracujące w strefie czasowej UTC+3 i UTC+4, czyli tej, w której znajduje się Gruzja.

Trojan okazał się skuteczny. Co prawda zainfekował jedynie kilkaset komputerów, ale były to sprzęty znajdujące się w ministerstwach, parlamencie czy organizacjach pozarządowych. Jego celem było szpiegowanie: mógł nagrywać obraz i dźwięk, a na zainfekowanym komputerze poszukiwał dokumentów zawierających słowa kluczowe związane z polityką i obronnością i wysyłał je na wskazany serwer.

Polacy pomagają schwytać włamywacza

Po ujawnieniu Georbota do akcji ruszył Gruziński CERT. Postanowiono pokonać włamywacza jego własną bronią i na jednym z zainfekowanych komputerów podłożono archiwum z dokumentem „Porozumienie Rosja-NATO”, do którego dołączono zmodyfikowanego Georbota.

Rosyjski włamywacz przy pracy
Rosyjski włamywacz przy pracy

Dzięki temu gruziński CERT miał możliwość przeszukania komputera włamywacza, zrobienia mu serii zdjęć i pobrania zrzutów ekranu, jak również przejęcia kontroli nad serwerem C&C (command and control). Co więcej, okazało się, że serwer, na który trafiały wykradzione z Gruzji materiały, znajduje się pod adresem sąsiadującym z FSB (Federalna Służba Bezpieczeństwa Federacji Rosyjskiej).

Choć włamywacz szybko odkrył podstęp, a Gruzinom nie udało się ustalić jego personaliów, cała akcja została uznana za sukces i potwierdziła, że za wrogimi działaniami stoją Rosjanie. Co istotne, gruziński CERT uzyskał podczas swoich działań międzynarodową pomoc. Korzystał m.in. ze wsparcia FBI, Microsoftu i polskiego CERT-u. W Sieci pojawił się również raport dotyczący tego incydentu.

Czarna Gwiazda - z dużej chmury mały deszcz?

Co zrobi GhostShell?
Co zrobi GhostShell?

Jak podała rosyjska agencja Interfax, celem Czarnej Gwiazdy jest wykradanie dokumentów należących do różnych instytucji, polityków i służb związanych z bezpieczeństwem i publikowanie ich w Sieci. Działania włamywaczy mają wynikać z tyranii rosyjskich władz izolujących obywateli od świata.

No cóż, o ile informacja o "wypowiedzeniu Rosji wojny" była jakiś czas temu gorącym newsem wszystkich serwisów informacyjnych, solidarnie powtarzających bzdury o "milionie dokumentów wykradzionych z FBA" (w rzeczywistości chodziło o milion rekordów dotyczących użytkowników różnych serwisów - tu znajdziecie więcej informacji na ten temat), warto zastanowić się, czy było to coś więcej, niż zwykła kaczka dziennikarska.

Od intrygującej zapowiedzi minęło już przecież trochę czasu, a rosyjskich tajnych dokumentów jak nie było w Sieci, tak nie ma. Grupa GhostShell opublikowała za to, podobnie jak poprzednio, dane użytkowników różnych rosyjskich serwisów (linki do paczek znajdziecie na tej stronie). Wygląda na to, że prawdziwej cyberwojny z Rosją chyba nikt nie ma zamiaru ryzykować.

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (0)