Кибератака 2008 года на Грузию считается первой крупномасштабной кибероперацией, проводимой параллельно с военными действиями. Тогда Группа реагирования на компьютерные инциденты местного научного сообщества при поддержке Эстонии, США и Польши смогла максимально быстро принять контрмеры, прорвав информационный вакуум. Андро Гоциридзе, консультант по киберстратегии, основатель исследовательского центра CYSEC – о том, как 13 лет назад Грузия подверглась гибридной атаке.
8 августа 2008 года, параллельно с крупномасштабными наземными, морскими и воздушными ударами, Россия начала массированные кибератаки на коммуникационные сети Грузии, парализовав новостные каналы, правительственные веб-сайты, интернет-провайдеров и частично банковский сектор. Это первый прецедент использования кибератак в сочетании с военными операциями, после чего Москва постоянно развивает свой наступательный киберпотенциал, создавая значительную угрозу для государств с западным вектором развития.
Но кибероперация 2008 года начиналась вовсе не в августе. Она имела своего рода «артподготовку». Перед военной интервенцией была осуществлена генеральная репетиция кибератак: 19 июля была осуществлена DDoS-атака на официальный сайт президента Грузии. Как в последствии показали исследования, с этим же периодом связано сканирование грузинских коммуникационных сетей российскими акторами с целью выявления возможных слабостей.
DDoS-атака отправляет на атакуемый веб-ресурс большое количество запросов с целью превысить способность сайта обрабатывать их все и вызвать отказ в обслуживании. Для отправки очень большого количества запросов на ресурс жертвы часто создают сеть из зараженных «зомби-компьютеров». Поскольку преступник контролирует действия каждого зараженного компьютера в зомби-сети, атака может быть слишком мощной для веб-ресурса жертвы.
С вторжением вооруженных сил РФ в Грузию началась основная фаза кибератаки. Хронологически это выглядит так:
- 8 августа была проведена кибератака на веб-сайты, информационные порталы (apsny.ge, news.ge) и сайты президента Грузии, правительства, министерства иностранных дел и парламента;
- 9 августа была совершена атака на банковский сектор;
- 10 августа началась новая волна кибератак на сайты парламента Грузии и президента.
- По состоянию на 11 августа большинство правительственных сайтов, за исключением сайта президента, не работали.
В результате defacement-атаки, совершенной в тот же период, на сайтах президента Грузии, Национального банка и министерства иностранных дел были размещены фашистская символика и фотографии, сравнивающие Адольфа Гитлера с Михаилом Саакашвили, а также фотографии диктаторов ХХ века. Российский киберштурм не ограничивался только лишь грузинскими сайтами: defacement-атаке подверглись также азербайджанские и российские оппозиционные сайты, которые нейтрально и в ущерб России освещали конфликт (day.az; today.az; ans.az; skandaly.ru; newsgeorgia.ru; kasparov.ru).
Defacement – это тип хакерской атаки, при которой главная страница веб-сайта заменяется другой, как правило, вызывающего или угрожающего вида. Зачастую доступ ко всему остальному сайту блокируется, либо прежнее содержимое сайта и вовсе удаляетсяw.
Если кибератаки на Эстонию и Литву в 2007-2008 годах были карательной операцией и своего рода политическим посланием, направленным на провоцирование гражданских массовых беспорядков, то киберизмерение российско-грузинской войны в августе 2008-го информационно подкрепляло военную агрессию Москвы и служило ее оправданием.
На фоне информационного превосходства, полученного за счет блокировки официальных или частных новостных каналов Грузии, российские СМИ начали обвинять Тбилиси в развязывании конфликта.
Информационное превосходство – способность собирать, обрабатывать и распределять непрерывный поток информации о ситуации, препятствуя противнику делать то же самое.
Стали распространяться ложные сведения о том, что грузинские вооруженные силы напали на «спящий Цхинвали» и убили 2 000 осетин, после чего в конфликт вмешались российские военные, чтобы якобы «остановить кровопролитие и этнические чистки осетинского населения».
То обстоятельство, что информационная кампания рассматривалась как способствующая военной, главный редактор рупора российской пропаганды – RT – Маргарита Симоньян подтвердила в интервью «Коммерсанту». Она заявила, что, когда Минобороны РФ вело боевые действия в Грузии, RT вел информационную войну против всего западного мира.
На российских сайтах также стали публиковать программное обеспечение и инструкции, необходимые для кибератак. Платформа российских хактивистов (hacktivism – от хакер и активизм, — прим. ред.) stipgeorgia.ru опубликовал адреса целевых грузинских сайтов, соответствующее загружаемое вредоносное ПО (Malware) и инструкции по атаке.
Теоретически эта схема позволяла любому пророссийскому активисту без какой-либо организации участвовать в кибердиверсии, тем самым замаскировав операцию, проводимую российскими государственными органами. Этим обстоятельством Кремль воспользовался: в публичных заявлениях он официально отрицал вмешательство государства в массовые кибератаки и приписывал их осуществление хактивистам и патриотически настроенным гражданам.
Но несмотря на неоднократные отрицания со стороны Москвы и тот факт, что атрибуция кибератак весьма сложна, в этой массированной гибридной операции очевидны следы государственной поддержки.
Большинство ботнетов, атаки которых парализовали информационное пространство Грузии и фактически произвели информационную блокаду, принадлежали российской киберпреступной группе RBN.
Высокое качество согласованности проведенных атак друг с другом или с другими операциями недвусмысленно доказывает, что это была часть единой военной кампании, планирование и подготовка которой опережали конвенционные действия российских вооруженных сил как минимум на несколько недель.
Андро Гоциридзе: постсоветский регион – киберполигон для России
Кибератаки в некоторых случаях географически соответствовали конвенционным действиям России: нарушение работы новостных и правительственных веб-сайтов предшествовали авиаударам или были синхронизированы с ними. Несомненно, информация о времени тех или иных военных операций не попала бы в руки неправительственных акторов, если бы координация не велась на самом высоком военно-политическом уровне.
Правительство Грузии, которое в условиях агрессии использовало собственные веб-сайты для распространения информации, было вынуждено искать способы прорвать информационную блокаду. 9 августа сайты президента и одного из телерадиовещателей были переданы компании Tulip Systems Inc. из Атланты.
Министерство иностранных дел использовало блоги и социальные сети для распространения информации; администрация президента Польши выделила место для размещения новостей из Грузии, а Эстония на своих серверах разместила сайт министерства иностранных дел и направила специалистов в Тбилиси для ликвидации последствий кибератак.
Поскольку в 2008 году Грузия была менее зависима от информационных технологий (7 пользователей интернета на 100 человек по сравнению с Эстонией, где соотношение составляло 57 на 100, а в Литве – 32 пользователя на 100 человек), кибератаки не оказали разрушительного воздействия на государство. Однако Кремль в какой-то степени сумел заглушить новостные каналы и утвердить свой нарратив о российско-грузинской войне.