Bardzo interesujący dokument wydała organizacja NATO, a dokładnie jej departament CCDCOE (The Cooperative Cyber Defence Centre of Excellence) zajmujący się obroną przed cyberatakami. Organizacja na swój sposób zacna więc i raport z założenia winien mieć ręce i nogi. Na 46 stronach możemy odnaleźć szczegółowe opisy jak przebiegały poszczególne fazy ataków, co było obiektem ataków i jaki skutek miał owy atak w ujęciu lokalnym. Równie interesujące są tabelkowe porównania z atakami na Litwę (2008) i Estonię (2007). Jednak dla mnie najważniejszą informacją znajdującą się w tym raporcie jest to z czym zgadzałem się od samego początku tych ataków, a mianowicie w rozdziale zatytułowanym „Źródło ataków” jest wyraźnie napisane, że podobnie jak w przypadku ataków na Estonię, nie ma przekonywujących dowodów na to, że (jak sugerowały media) za całą akcją stała Rosja (choć część dowodów wskazuje na udział szajki RBN). Ataki nie wyglądały na skoordynowane i odgórnie zarządzane, natomiast do ich przeprowadzenia na pewno były wykorzystywane sieci botnet. Innymi słowy „sprawca pozostaje nieznany„. Skracając cały raport do najważniejszych moim zdaniem aspektów można opisać całość tak:
- podczas incydentów miały miejsce podmiany stron internetowych oraz rozproszone ataki odmowy usługi,
- podmiany stron internetowych były skoncentrowane na stronach politycznych, rządowych i finansowych,
- użytkownicy poprzez fora internetowe nakłaniali do pobierania oprogramowania (pliki .bat) atakującego 36 głównych stron,
- ataki DDoS uśredniając osiągnęły poziom 211 Mb/s, a maksymalna odnotowana wartość ataku to 814 Mb/s,
- średnio atak DDoS trwał 2 godziny i 15 minut, a najdłużej 6 godzin i 33 minuty,
- publikowane były listy adresów e-mail znanych polityków i ważnych osobistości w celu bezpośrednich ataków w nich wymierzonych,
- część atakowanych stron WWW działała bez problemu, część zostało wyłączonych całkowicie,
- część atakowanych stron zmieniła tymczasowo dostawcę usług hostingowych (na przykład polski Prezydent pożyczył hostingu ichniemu rządowi :),
- dodatkowym problemem był fakt, że fizyczna infrastruktura w wyniku stanu wojennego w kraju była mocno uszkodzona,
- dostęp do usług bankowych w kraju maksymalnie nie działał przez 10 dni !!!,
- blokowany był dostęp do sieci Gruzji także za pomocą rekonfiguracji routerów w sąsiadujących krajach (najprawdopodobniej przejętych).
Lista atakowanych witryn:
Rządowe (edukacja, parlament, prezydent):
- www.abkhazia.gov.ge
- www.mes.gov.ge
- www.naec.gov.ge
- www.parliament.ge
- www.president.gov.ge
Media (fora internetowe, wiadomości, telewizja)
- www.forum.ge
- www.civil.ge
- www.presa.ge
- www.apsny.ge
- www.rustavi2.com
- www.news.ge
- interpress.ge
Największy bank w Gruzji:
- www.tbc.ge
Pozostałe:
- www.tbilisiweb.info
- www.newsgeorgia.ru
- www.os-inform.com
- www.kasparov.ru
- www.hacking.ge
- www.skandaly.ru