Został opublikowany dokument Russian Cyberwar on Georgia, w którym poznajemy kulisy ataków wymierzonych w Gruzję. Poza podstawowymi informacjami wprowadzającymi w temat, pojawiły się wyraźne spekulacje jakoby za całą akcją stała opłacana przez rosyjskie władze – znana mafia internetowa Russian Business Network (RBN). W zasadzie już wcześniej wielu specjalistów zakładało taki scenariusz lecz w raporcie podane jest kilka interesujących faktów, które przemawiają za tą teorią.
Z najciekawszych danych ujrzeć możemy wykresy ukazujące najsilniejszy z ataków DDoS o sile ponad 200 Mbitów/sekundę przy około pół milionie pakietów/sekundę. Na atak składały się głównie zapytania HTTP do strony http://mfa.gov.ge. Do samego ataku namawiano na stronie stopgeorgia.ru, gdzie podano listę 36 stron będących celem ataku. Były to głównie urzędy takie jak amerykańskie i angielskie ambasady, parlament, ministerstwo spraw zagranicznych, agencje newsowe, centrala komisja wyborów itp.
Strona była hostowana przez Softlayer of Plano Texas (AS36351), firmę znaną dobrze ze swojej współpracy ze spółką Atrivo and Intercage, która to stała się popularna dzięki promocji złośliwego oprogramowania :] Analizując trasy routingu przed i po rozpoczęciu wojny, można z łatwością zauważyć, iż celem ataku było uniemożliwienie przesyłania ruchu do i z Gruzji. Część ruterów biorących udział w ataku, znana jest z tego, że jest pod kontrolą sieci RBN. Złośliwe oprogramowanie atakujące serwery w Gruzji dostarczane było z adresu IP 79.135.167.49 i wykrywane było jedynie przez 4 z 36-ciu programów antywirusowych. Widać znów, że RBN się postarała przy tworzeniu tej aplikacji. Szefem odpowiedzialnym za uderzenie w Gruzję jest główny operator RBN – Alexandr A. Boykov (Saint Petersburg, Rosja) oraz Andrey Smirnov – znany programista i spamer. Ludzie Ci nie są amatorami i dobrze znają się na swojej pracy.
Opierając się na danych ze Spamhaus, Pan Boykov odpowiada za klasę IP 79.135.167.0/24 (patrz adres IP podany kilka linijek wyżej). Dodatkowo pierwsze testy poprzedzające atak, wykonane były z adresu IP 79.135.167.22. Uwzględniajac fakt, że tak duża i droga firma jak RBN zajęła się atakiem – wnosić należy, że sponsor całego przedsięwzięcia musiał sporo za nie zapłacić. Sama adresacja należy do 79.135.160.0/19 Sistemnet Telecom i AS9121 TTNet (Turcja), które to są powiązane z thecanadianmeds.com, która to natomiast jest mocno powiązana znów z RBN.
Czy faktycznie RBN maczało swoje paluszki w ataku na Gruzję czy była to społeczna akcja kilku patriotów – pewnie się nigdy nie dowiemy. Warto jednak mieć w pamięci tamte wydarzenia, a zwłaszcza wyciągnąć z nich jakieś sensowne wnioski na przyszłość.
Źródło: http://ddanchev.blogspot.com/2008/10/ddos-attack-graphs-from-russia-vs.html