20 lipca (wczoraj) miał miejsce atak DDoS skierowany w główną witrynę Prezydenta Gruzji (Mikhail Saakashvili). Organizacja Shadowserver zajmująca się analizą informacji dotyczących sieci botnet odkryła serwer zarządzający (C&C), który za pomocą komunikacji HTTP (WWW), wydawał szereg komend atakujących. Atak odbywał się za pomocą protokołów TCP i ICMP oraz zapytań symulujących odwiedzanie witryny Prezydenta. Przykładowe komendy:
flood http www.president.gov.ge/
flood tcp www.president.gov.ge
flood icmp www.president.gov.ge
Adres IP, pod którym znajduje się witryna Prezydenta hostuje także inne instytucji rządowe, których witryny także były niedostępne. Mimo, że nie ma mocnych dowodów na temat przyczyny i źródła ataku, zastanawiający jest fakt, iż oprogramowanie do zarządzania botami kontroluje aplikacje MachBot, które to najczęściej używane są przez Rosjan. Specjaliści z Shadowserver odkryli, że botnet użyty do ataku, przez kilka tygodni od momentu pojawienia się, nie wykazywał żadnych przejawów wrogiej działalności, aż do wczoraj…
W dniu dzisiejszym witryna Prezydenta Gruzji jest dostępna. Zapewne atakujący zaprzestał swojej działalności.
Źródło: http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20080720