Ciberataques de Georgia vinculados con la delincuencia organizada rusa

Los ataques cibernéticos contra Georgia hace un año se llevaron a cabo en estrecha relación con las bandas criminales rusas, y los atacantes probablemente fueron alertados sobre la intención de Rusia de invadir el país, según un nuevo análisis técnico, gran parte del cual permanece en secreto.

Las asombrosas conclusiones vienen de la Unidad de Ciber Consecuencias de EE. UU., un instituto de investigación independiente sin fines de lucro que evalúa el impacto de los ciberataques. Un análisis técnico de 100 páginas solo está disponible para el gobierno de los EE. UU. Y algunos profesionales de seguridad cibernética, pero la organización publicó un resumen de nueve páginas el lunes por la mañana.

El informe confirma parte de las sospechas de los observadores, que teorizaron que los ataques distribuidos de denegación de servicio (DDOS), que paralizaron muchos sitios web georgianos, tenían sus raíces en Rusia.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

El informe fue producido principalmente a través de investigaciones de la CTO de la Unidad de Ciber Consecuencias de los Estados Unidos, John Bumgarner. Implicaba analizar una gran cantidad de datos recopilados a medida que los ataques avanzaban y después. Los datos incluían registros de servidores de una variedad de partes interesadas, algunos de los cuales no compartirían información entre ellos, dijo Scott Borg, director y economista jefe del instituto.

Rusia lanzó una campaña militar de cinco días en agosto de 2008 que correspondió con los intentos de Georgia de ejercer un mayor control sobre las regiones de Osetia del Sur y Abjasia, que tienen fuertes vínculos con Rusia. Los bombarderos atacaron objetivos en todo el país y, al mismo tiempo, los medios de comunicación y el gobierno georgianos cayeron bajo el ataque DDOS.

Ese momento no parece ser una coincidencia. Los ataques fueron ejecutados con una eficiencia que indicaba un planeamiento previo, y los ciberataques también precedieron a las primeras noticias de la intervención militar rusa, según el informe.

"Muchos de los ciberataques estuvieron tan cerca del ejército correspondiente operaciones que tenían que ser una cooperación estrecha entre las personas en el ejército ruso y los atacantes cibernéticos civiles ", dijo el informe. "Muchas de las acciones que los atacantes llevaron a cabo, como el registro de nuevos nombres de dominio y la creación de nuevos sitios web, se lograron tan rápido que todos los pasos tuvieron que prepararse antes".

Borg dijo que el instituto confía en que el gobierno ruso no llevó a cabo los ataques directamente. Pero está claro que Rusia parecía estar aprovechando a los nacionalistas civiles que estaban listos para llevar a cabo una acción cibernética, quizás con cierto estímulo de bajo nivel.

"Parece que la invasión militar estaba teniendo en cuenta la ayuda que estaban a punto de recibir … por el ataque cibernético ", dijo Borg.

No está claro, sin embargo, en qué nivel se produjo la interacción entre los funcionarios del gobierno ruso y los que ejecutaron los ataques. Pero parece que la falta de coordinación probablemente se convierta en parte del procedimiento operativo estándar de Rusia a partir de ahora, dijo Borg.

Un total de 54 sitios web fueron atacados, la mayoría de los cuales hubieran beneficiado la campaña militar rusa al no funcionar, Borg dijo. Al cerrar los medios y los sitios del gobierno, fue más difícil para Georgia comunicarle al público lo que estaba sucediendo. Las transacciones financieras fueron interrumpidas, y el Banco Nacional de Georgia tuvo que cortar su conexión a Internet durante 10 días, según el informe.

Los sitios de redes sociales ayudaron a reclutar voluntarios que intercambiaron consejos en foros en línea en ruso, con un idioma en inglés foro alojado en San Francisco, dice el informe. Los servidores de computadoras que en el pasado habían sido utilizados para alojar software malicioso por bandas criminales rusas también se usaron en los ataques. Parece que las organizaciones criminales rusas no hicieron ningún esfuerzo por ocultar su participación en la campaña cibernética contra Georgia porque querían para reclamar un crédito por ello ", dijo el informe.

Los ataques DDOS funcionan al bombardear un sitio web con demasiadas solicitudes de página, lo que hace que no esté disponible debido a problemas de ancho de banda a menos que se tomen medidas de seguridad. El ataque es ejecutado por una botnet o una red de PC que se infectan con código malicioso controlado por un hacker.

El código utilizado para ordenar esas máquinas para atacar los sitios web parecía estar personalizado específicamente para la campaña de Georgia, el informe dicho. Tres de los programas de software utilizados fueron diseñados para probar sitios web para ver cuánto tráfico pueden manejar.

Un cuarto programa fue diseñado originalmente para agregar funciones a sitios web pero fue alterado por los piratas informáticos para solicitar páginas web inexistentes. Esa herramienta, que se basa en HTTP, demostró ser más eficiente que los ataques basados ​​en ICMP (Protocolo de mensajes de control de Internet) utilizados contra Estonia en 2007, según el informe.

La evidencia adicional mostró que Georgia podría haber sido golpeada mucho más duro. Algunas de las infraestructuras críticas de Georgia eran accesibles a través de Internet. Mientras que los ciberatacadores civiles tenían indicios de considerable experiencia, "si los militares rusos hubieran elegido involucrarse directamente, tales ataques habrían estado dentro de sus capacidades", decía el informe.

"El hecho de que los ciberataques destructivos físicamente no llevado a cabo contra las industrias georgianas de infraestructura crítica sugiere que alguien en el lado ruso estaba ejerciendo una restricción considerable ", dijo.