Ewolucja złośliwego oprogramowania IV-VI 2007

Przeczytaj także: Ewolucja złośliwego oprogramowania I-III 2007

Niemal natychmiast nastąpił kontratak za pośrednictwem Internetu. Według badań przeprowadzonych przez ekspertów z fińskiej firmy F-Secure, 28 kwietnia całkowicie niedostępne były następujące strony internetowe:

• www.peaminister.ee (strona internetowa premiera): niedostępna
• www.mkm.ee (Ministerstwo Gospodarki i Komunikacji): niedostępna
• www.sisemin.gov.ee (Ministerstwo Spraw Wewnętrznych): niedostępna
• www.vm.ee (Ministerstwo Spraw Zewnętrznych): niedostępna
• www.valitsus.ee (Rząd Estoński): niedostępna
• www.riigikogu.ee (Parlament Estoński): niedostępna

Pierwszy atak trwał mniej więcej do 4 maja. Ofiarą ataku DDoS padło ponad dziesięć estońskich stron internetowych. Jednak wszyscy dobrze wiedzieli, że najgorsze miało dopiero nastąpić. Zbliżał się 9 maja, Dzień Zwycięstwa w Rosji.
Firma Arbor specjalizująca się w ochronie przed atakami DoS opublikowała własne statystyki dotyczące zdarzeń w Estonii. Interesujące jest to, że według jej raportu, ataki rozpoczęły się 3 maja, 2007 roku. Możliwe, że wtedy właśnie władze estońskie zwróciły się do firmy Arbor o pomoc, ponieważ nie ma żadnych danych odnośnie pierwszej fali ataków (od 27 kwietnia do 3 maja).

Jak widać, druga fala ataków rozpoczęła się 8 maja, osiągając punkt krytyczny 9 maja. W tym miejscu należy wyjaśnić, co oznacza w tym kontekście termin "atak". Jak podaje firma Arbor, w ciągu dwóch tygodni odnotowano 128 unikatowych ataków DDoS, z których 115 to typowe ataki ICMP-flood, 4 to ataki SYN, a pozostałe 9 to różne warianty ataków, których celem jest zwiększenie ruchu sieciowego.

Oczywiście to tylko niektóre z ataków, jakie miały miejsce. Przykłady te pokazują, na jak ogromną skalę zostały przeprowadzone. Ponadto, ogromna większość ataków trwała zaledwie godzinę lub krócej. Tylko 7 ataków utrzymało się przez 10 godzin.

Atak przeciwko Estonii przeprowadzono na kilku poziomach jednocześnie. Oprócz ataków DoS na kluczowe strony rządowe zmodyfikowano również dziesiątki innych estońskich stron internetowych. Większość z nich działa w oparciu o różne silniki skryptowe, które posiadają wiele różnych luk, od CSS/XSS po wstrzykiwanie SQL.

Technicznie ataki te nie były szczególnie skomplikowane i mogły zostać przeprowadzone w każdym innym czasie, jednak ostatnie zdarzenia przyciągnęły hakerów z całego świata, z których wielu wykorzystało sytuację do tego, aby podszkolić i zastosować w praktyce swoje umiejętności.

Jednym z pierwszych portali, na który włamano się, był portal internetowy Partii Reform, na czele której stoi premier Estonii Andrus Ansip. Tekst ze strony głównej zastąpiono rzekomymi przeprosinami zaadresowanymi do rosyjskojęzycznych mieszkańców Estonii. "Premier prosi o wybaczenie! Premier i rząd Estonii błaga o wybaczenie całą rosyjską ludność Estonii i zobowiązuje się przywrócić pomnik Brązowego Żołnierza na należne mu miejsce" - napisali hakerzy.

W międzyczasie ofiarą ataków padły również rosyjskie strony internetowe. "3 maja tego roku strona internetowa prezydenta Rosji padła ofiarą ataków hakerów, przeprowadzonych na bezprecedensową skalę z serwerów zlokalizowanych najprawdopodobniej w regionie nadbałtyckim" - poinformowała agencja informacyjna RIA Novosti, cytując jedno ze źródeł na Kremlu.

Jednak dzięki systemowi tworzenia kopii zapasowych oraz współczesnemu systemowi bezpieczeństwa strona internetowa prezydenta nie straciła kontroli. Źródło na Kremlu przyznało, że "wystąpiły pewne problemy", dodając , że "ataki hakerów na instytucje rządowe różnych państw są niestety na porządku dziennym."