Georgie: récit d’une cyber-attaque

Notez cet article

Au cours de l’été 2008, la Russie a déclenché une opération militaire contre le Géorgie ; cette attaque a, elle-même, été précédée par de vastes cyber-attaques destinées à perturber et à mettre à genou les infrastructures critiques gouvernementales et civiles de la Géorgie. A l’aube de l’invasion Russe, ces attaques ont bloqué une bonne partie du cyberespace Géorgien. Elles ont également permis le franchissement d’une étape supplémentaire dans l’art de la guerre : en effet, pour la première fois dans l’histoire des batailles, une invasion terrestre a été précédée d’une offensive électronique d’une ampleur gigantesque. Ces événements doivent être perçus comme des études de cas pour les stratèges militaires et au même moment, ils permettent de mettre en avant toutes les capacités offensives de groupes criminels sur Internet.

L’histoire a été largement relayée par les médias et pendant un temps il a été suggéré que la cyber-attaque était le fruit d’opérations perpétrées par des hackers patriotiques. Cependant cette attaque, de par son ampleur, sa coordination et son très haut degré de sophistication ne peut vraisemblablement pas voir son origine uniquement dans les actes de hackers indépendants. Plusieurs experts en sécurité informatique ont accusé Moscou d’être derrière ces agissements. Au vue de l’intensité de ces attaques, seul un état aurait été capable de mener à bien ce type d’opération.

Le début du 21eme siècle voit les cyber-attaques se développer à vive allure. Les hautes technologies et les compétences en ligne sont désormais à vendre et ce n’est pas les clients qui manquent : du particulier aux sociétés commerciales, en passant par les organisations terroristes, une cyber-attaque peut déstabiliser un concurrent ou un adversaire et même mettre en péril toute l’organisation économique d’un pays.

Au cours du printemps 2007, le système informatique gouvernemental Estonien a été la victime d’une violente attaque déclenchée par des cyber-terroristes suite à la décision d’officiels Estoniens de déplacer dans un cimetière militaire de Tallinn, la statue d’un soldat de l’armée rouge mort en combattant les Nazis. Cette décision fut l’objet de nombreuses protestations au sein de la minorité Russe d’Estonie. Suite à cela, une vaste attaque à base de déni de service a été déclenchée contre les réseaux gouvernementaux Estoniens. Les attaquants ont bombardé d’innombrables requêtes l’infrastructure Estonienne, bloquant d’innocents utilisateurs et mettant en évidence toute la vulnérabilité du système d’information du pays. Les experts ont estimé que l’assaut avait eu de graves conséquences auprès des banques et des aéroports.

En aout 2008, la Géorgie a été également la victime d’une cyber-attaque massive. Le déni de service a débuté alors même que la Russie envahissait la Géorgie et a continué après que le Kremlin eut annoncé qu’il mettait un terme aux hostilités.

Le 20 juillet, la fondation Shadowserver publia un article sur l’attaque dont fut victime le site web du Président de la Géorgie. « Depuis plus de 24 heures, le site web du président Géorgien Mikhail Saakashvili est indisponible suite à un important déni de service. Le site a été attaqué samedi matin (heure Géorgienne). Nous avons pu observer au moins un serveur Command and Control (C&C) frappant le site au moyen d’attaques simultanées. Le serveur C&C a ordonné à ses bots d’attaquer le site web en l’inondant de requêtes TCP, ICMP et http. »

Le 21 juillet, le site Computerworld écrit, « Au cours du week-end, le site web du président de la Géorgie a été mis hors service par un déni de service, il s’agit d’une attaque de plus dans la longue série des cyber-attaques contre les pays ayant des frictions politiques avec la Russie. »

Le 12 aout, le quotidien New-York Times cite: «Quelques semaines avant que les bombes ne tombent sur la Géorgie, un chercheur en sécurité originaire du Massachusetts a pu observer une attaque du pays dans son cyberespace. »

L’invasion de la Géorgie par la Russie a été précédée d’une cyber-attaque sur les infrastructures Internet de la Géorgie. A partir du 7 aout, soit un jour avant que ne commence l’invasion Russe, un nombre important de serveurs Internet Georgien ont été saisis et placés sous contrôle étranger. Au même instant, la plupart du trafic Internet Géorgien et de ses accès ont également été détournés.

Le piratage du site web du président Mikheil Saakashvili (les photos de ce dernier ont été remplacées par des effigies d’Adolf Hitler) a été la phase initiale du lancement de l’attaque. S’ensuivirent alors de larges dénis de service contre le site, empêchant ainsi le gouvernement Géorgien de communiquer vers sa population et les média internationaux durant cette phase critique.

Après analyse, il s’avère que ces dénis de services n’ont pas été seulement orchestrés de façon traditionnelle via un serveur C&C commandant son botnet, mais bien par de simples injections SQL envoyées sur les serveurs vulnérables. L’avantage est certain : il n’est pas nécessaire de disposer d’un grand nombre de machines zombie, une seule machine suffit pour mettre à genou un serveur.

L’assaut contre le cyberespace Géorgien pourrait avoir été en partie coordonné par la tristement célèbre organisation criminelle Russian Business Network (RBN) qui aurait orchestré un cyber blocus afin de rerouter tout le trafic Internet Géorgien vers la Russie ; cette action a eu comme conséquence de priver la Géorgie de son indépendance Internet.
Des ordinateurs Georgien ont pu constater qu’une attaque était effectivement en cours et que tout le trafic était rerouté.

Deux traceroutes en direction du site des affaires étrangères Géorgien ont montré que :
1 – la route USA – Géorgie était bloquée depuis TTnet Turquie
2 – la route Ukraine – Géorgie était accessible mais très lente; de plus la page du site gouvernemental était fabriquée de toute pièce et redirigée via l’opérateur Bryansk.ru

D’autres analyses des sites web gouvernementaux, tel que celui du ministre de la défense ainsi que celui du Président ont montré
o Que la route USA – Géorgie était bloquée depuis TTnet Turquie
o Que la route Ukraine – Géorgie était également bloquée toujours depuis TTnet Turquie.

En examinant les routes Internet avant et après le début la guerre, il est clair que celles-ci ont été modifiées soit légalement soit illégalement, de sorte que le trafic Internet Géorgien soit bloqué, en entrée et en sortie. Certains de ces accès pourraient être directement sous le contrôle de la Russian Business Network (RBN) : AS8342 RTCOMM (Ru), AS12389 ROSTELECOM (Ru), et surtout AS9121 TTNet (Tk). (Les AS sont des ensembles de réseaux IP sous le contrôle d’une seule et même entité). L’appartenance d’un réseau à la RBN est toutefois toujours très difficile à démontrer dans le sens où cette dernière n’a pas d’existence propre. Pour tracer le champ d’activité de la RBN, on s’efforce de faire des recoupements entre les spams, les sites web et les whois.

Tous ces actes ont demandé une action coordonnée, avec on peut l’imaginer, un état-major, et des généraux qui planifient et envoient leurs soldats. Toutes les attaques ont été menées depuis deux forums de hackers Russes : stopgeorgia.ru (et sa redirection stopgeorgia.info) ainsi que xakep.ru (hacker.ru)

Le forum Stopgeorgia.ru fournissait aux hackers des outils d’attaques contre la Géorgie, mais pas seulement; en fait, c’est tout un processus quasi militaire qui y était organisé : recrutement des nouveaux, endoctrinement, choix des cibles potentielles, livraison des « armes » (scripts et malwares), planification et finalement déclenchement des attaques. Ce forum pourrait avoir été sous la coupe de la RBN au travers d’un de leur gestionnaire de nom de domaine, Estdomain connu pour la conception de faux antivirus et spywares. Stopgeorgia.ru est désormais désactivé et le domaine a été racheté par un indien anonyme.

Dans les jours qui ont suivi le début des hostilités, la guerre de l’information pris un autre tournant sous la forme d’une importante campagne de spam: un message en provenance de la BBC qui affirmait que le président de la Géorgie était homosexuel avec bien entendu, une preuve à l’appui : une vidéo à télécharger. Lorsque la victime cliquait sur le lien, elle téléchargeait un virus « name.avi.exe” depuis l’adresse 79.135.167.49

Parmi tous ces épisodes, le nom de la RBN revient à plusieurs reprises. Cette organisation cybercriminelle est dirigée par Alexandr A. Boykov ainsi qu’un spammeur notoire de Saint Petersbourg appelé Andrey Smirnov.

L’attaque DDOS de juillet émanait de deux serveurs C&C : bizus-kokovs.cc (207.10.234.244) et ns1.guagaga.net (79.135.167.22), une adresse appartenant au réseau turc sistemnet.com.tr, classé au top 10 des pires spammeurs au monde. Vous noterez également que le spam contenant la fausse vidéo provenait de l’adresse 79.135.167.49. Le nom de Mr Boykov est connecté à celui de Sistemnet de par des opérations conjointes de spam de pharmacie. Il possède le réseau IP 81.222.137.0/24 que l’on retrouve régulièrement associé au réseau turc dans les blacklists.

Par déduction, on peut donc conclure que la RBN a été un moment ou un autre impliquée dans le conflit. Mais en restant tout à fait objectif, on pourrait nuancer les propos en disant qu’ au moins les infrastructures de la RBN ont été utilisées au cours des hostilités.

La dernière attaque majeure s’est déroulée le 27 aout. Dans l’après-midi du 27 aout, vers 16h15, une attaque massive a été déclenchée contre le site du ministre des affaires étrangères. L’attaque a connu un pic à 0.5 million de paquets par second, et l’on a pu mesurer entre 200 et 250 Mb de bande passante consommée.

L’attaque consistait principalement en des requêtes http envoyées sur le site http://mfa.gov.ge. Ces requêtes étaient accompagnées de paramètres générés aléatoirement destinés à saturer le serveur. La première vague a beaucoup perturbé les services web qui ont d’abord été ralentis puis ont cessé de fonctionner. Ceci est dû à la surcharge occasionnée par l’amplitude de ces requêtes.

Après cela, aucune autre attaque majeures n’a pu être constatée ; il n’est toutefois pas exclu que des attaques mineures sont toujours en cours mais elles sont difficilement perceptibles et pourraient être contrôlées par des civils.

En conclusion la cyber-attaque n’a eu finalement qu’un impact limité sur la Géorgie, dans le sens où son organisation est assez peu dépendante des technologies de l’information. Des pays comme la Scandinavie et surtout les Etats-Unis auraient beaucoup plus à craindre de ce genre d’attaque. Il a été un moment affirmé que le gouvernement Russe était impliqué dans cet épisode de la guerre, car celle-ci avait été si bien orchestrée que son organisation supposait la participation du gouvernement. Ceci a été démenti par un rapport d’experts indépendants appelé Grey Goose que réfutent toujours les autorités Géorgiennes. Maintenant, encore une fois l’ombre de la sinistre RBN flotte sur un champ de bataille heureusement dépourvu de cadavres.

4 commentaires sur “Georgie: récit d’une cyber-attaque

  1. J’aime bien le sous domaine du site des affaires étrangères de Georgie ;-)

    A part ça, article très intéressant. A suivre pour les années à venir. Le web devient en effet un terrain de jeu pour les conflits futurs.

    Lors d’une discussion avec une bloggueuse française, j’évoquais aussi le risque lié à des monopoles comme ceux de Google. La quantité d’information personnelles potentiellement détenue par des macro-sites web possède une valeur incroyable. Et les conflits de l’information pourraient prendre une forme très particulière dans les années à venir.

  2. Et toujours dans le même style, il y a un article dans le MISC de Janvier/Février qui donne un peu une contre mesure à ce que tu écris. L’auteur affirme que le RBN est un peu moins coupable que ce qu’on lit sur les blogs francophones, et il dit aussi que la « mafia russe » est plus imaginaire qu’autre chose.

    Bref, articles très intéressants à lire et relire (malheureusement j’ai pu que lire) dans ce numéro dédiée à la cyber-crtiminalité (blanchiment d’zrgent, fraude, phishing, arnaque, seveurs bullet-proof etc.)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

CommentLuv badge