2007 cyberattacker mot Estland

Med början den 27 april 2007 riktade sig en serie cyberattacker till webbplatser för estniska organisationer, inklusive det estniska parlamentet , banker, ministerier, tidningar och programföretag, mitt i landets oenighet med Ryssland om omplaceringen av bronssoldaten från Tallinn , en utarbetad grav i sovjettiden. markör, samt krigsgravar i Tallinn . De flesta av attackerna som hade något inflytande på allmänheten var distribuerade attacker av denial-of-service-typ, allt från enskilda individer som använde olika metoder som ping-floder till dyra uthyrningar av botnät som vanligtvis används för spamdistribution . Spamning av större nyhetsportals kommentarer och defacements, inklusive den på Estonian Reform Partys webbplats, förekom också. Forskning har också visat att stora konflikter ägde rum för att redigera den engelskspråkiga versionen av Bronssoldatens Wikipedia-sida.

Vissa observatörer ansåg att angreppet mot Estland var av en sofistikering som inte setts tidigare. Fallet studeras intensivt av många länder och militära planerare eftersom det vid den tidpunkt då det inträffade kan ha varit den näst största instansen av statligt sponsrad cyberkrigföring , efter Titan Rain .

I januari 2008 hade en etnisk-rysk estnisk medborgare åtalats och dömts.

Under en paneldiskussion om cyberkrigföring har Sergei Markov från den ryska statsduman sagt att hans icke namngivna medhjälpare var ansvarig för att iscensätta cyberattackerna. Markov påstod att medhjälparen agerade på egen hand när han bodde i en okänd republik i det forna Sovjetunionen, möjligen Transnistrien . Den 10 mars 2009 har Konstantin Goloskokov, en "kommissarie" för den Kreml -stödda ungdomsgruppen Nashi , tagit på sig ansvaret för attacken. Experter är kritiska till dessa varierande ansvarsanspråk. Det direkta resultatet av cyberattackerna var skapandet av NATO Cooperative Cyber ​​Defense Centre of Excellence i Tallinn , Estland .

Estlands svar

Den estniska regeringen var snabb med att skylla på Kreml och anklagade den för att vara direkt inblandad i attackerna. Det avslöjades senare att anklagelserna inte var helt korrekta när Estlands försvarsminister, Jaak Aaviksoo , medgav att han inte hade några bevis som kopplade cyberattackerna till Kreml. "Naturligtvis kan jag i nuläget inte med säkerhet säga att cyberattackerna hanterades av Kreml eller andra ryska statliga myndigheter", sa han i en intervju på Estlands TV-kanal Kanal 2, "Återigen, det är inte möjligt . att utan tvekan säga att order kom från Kreml, eller att det faktiskt uttrycktes en önskan om något sådant där." Ryssland kallade anklagelserna om dess inblandning "ogrundade", och varken Natos eller EU-kommissionens experter kunde hitta några bevis på officiellt rysk regeringsdeltagande. Sedan attacken har Estland förespråkat ökat skydd för cybersäkerhet och svarsprotokoll.

Natos svar

Som svar på sådana attacker genomförde Nato en intern bedömning av deras cybersäkerhet och infrastrukturförsvar. Bedömningen resulterade i en rapport som utfärdades till de allierade försvarsministrarna i oktober 2007. Den utvecklades vidare till skapandet av en cyberförsvarspolicy och skapandet av NATOs Cooperative Cyber ​​Defense Centre of Excellence (CCDCOE) i maj 2008.

På grund av attackerna ^{[ citat behövs ]} utvecklades också Tallinnmanualen om internationell lag som är tillämplig på cyberkrigföring . Denna rapport beskrev internationella lagar som anses vara tillämpliga på cyberområdet. Manualen innehåller totalt nittiofem "svarta bokstäversregler" som tar itu med cyberkonflikter. Tallinnmanualen har arbetat för att tillhandahålla en global norm i cyberrymden genom att tillämpa befintlig internationell lag på cyberkrigföring. Handboken föreslår att stater inte har suveränitet över Internet, men att de har suveränitet över komponenter av Internet på deras territorium.

Lagligheter

Den 2 maj 2007 inleddes en brottsutredning om attackerna enligt en paragraf i den estniska strafflagen som kriminaliserar datorsabotage och ingrepp i ett datornätverk, grovt brott som kan straffas med fängelse i upp till tre år. Eftersom ett antal angripare visade sig befinna sig inom Ryska federationens jurisdiktion gjorde den 10 maj 2007 en formell begäran om utredningshjälp av den estniska åklagarmyndigheten till Ryska federationens högsta åklagarmyndighet enligt ett avtal om ömsesidig rättslig hjälp (MLAT) mellan Estland och Ryssland. En rysk statsdumans delegation som besökte Estland i början av maj angående situationen kring bronssoldaten i Tallinn hade lovat att Ryssland skulle bistå en sådan utredning på alla möjliga sätt. Den 28 juni vägrade den ryska högsta åklagarmyndigheten hjälp och hävdade att de föreslagna utredningsprocesserna inte omfattas av tillämplig MLAT. Piret Seeman, den estniska åklagarmyndighetens PR- ansvarige, kritiserade detta beslut och påpekade att alla begärda processer faktiskt är uppräknade i MLAT.

Den 24 januari 2008 befanns Dmitri Galushkevich, en student bosatt i Tallinn, skyldig till att ha deltagit i attackerna. Han bötfälldes med 17 500 kroon (cirka 1 640 USD) för att ha attackerat det estniska reformpartiets webbplats .

Från och med den 13 december 2008 har ryska myndigheter konsekvent nekat estnisk brottsbekämpning allt utredningssamarbete, vilket i praktiken eliminerat chanserna att de av förövarna som faller inom rysk jurisdiktion kommer att ställas inför rätta.

Utlåtanden från experter

Kritiska system vars nätverksadresser inte skulle vara allmänt kända var inriktade på, inklusive de som betjänar telefoni och bearbetning av finansiella transaktioner. Även om inte alla datorknäckare bakom cyberkrigföringen har avslöjats, trodde vissa experter att sådana ansträngningar överträffar kompetensen hos enskilda aktivister eller till och med organiserad brottslighet eftersom de kräver ett samarbete mellan en stat och ett stort telekomföretag .

En välkänd rysk hacker Sp0Raw anser att de mest effektiva onlineattackerna mot Estland inte kunde ha genomförts utan de ryska myndigheternas välsignelse och att hackarna uppenbarligen agerade enligt "rekommendationer" från partier på högre positioner. Samtidigt kallade han påståenden från estländare angående den ryska regeringens direkta inblandning i attackerna för "tomma ord, som inte stöds av tekniska data".

Mike Witt, biträdande chef för United States Computer Emergency Readiness Team (CERT) tror att attackerna var DDoS -attacker. Angriparna använde botnät — globala nätverk av komprometterade datorer, ofta ägda av slarviga individer. "Storleken på cyberattacken, även om den förvisso var betydelsefull för den estniska regeringen, ur teknisk synvinkel är inte något som vi skulle anse som betydande i skala", sa Witt.

Professor James Hendler , tidigare chefsforskare vid Pentagon 's Defense Advanced Research Projects Agency (DARPA) karakteriserade attackerna som "mer som ett cyberupplopp än en militär attack."

"Vi har inte direkt synlig information om källor så vi kan inte bekräfta eller dementera att attackerna kommer från den ryska regeringen", säger Jose Nazario, mjukvaru- och säkerhetsingenjör på Arbor Networks, till internetnews.com . Arbor Networks drev ATLAS- hotanalysnätverk, som, enligt företaget, kunde "se" 80 % av internettrafiken. Nazario misstänkte att olika grupper som driver separata distribuerade botnät var inblandade i attacken.

Experter som intervjuats av IT-säkerhetsresursen SearchSecurity.com "säger att det är mycket osannolikt att det här var ett fall där en regering startade en samordnad cyberattack mot en annan": Johannes Ullrich , forskningschef för Bethesda sa "Att tillskriva en distribuerad denial-of-service attack som det här för en regering är svårt." "Det kan lika gärna vara en grupp bot-herdare som visar "patriotism", ungefär som vad vi hade med webbdefacements under spionplanskrisen mellan USA och Kina [2001]." Hillar Aarelaid , chef för Estlands Computer Emergency Response Team "uttryckte skepsis mot att attackerna kom från den ryska regeringen, och noterade att estländare också var splittrade i huruvida det var rätt att ta bort statyn".

"I dag tror säkerhetsanalytiker allmänt att attackerna tolererades av Kreml, om de inte aktivt koordinerades av dess ledare." Andy Greenberg, författare till WIRED Guide to Cyberwar 23 augusti 2019. Han noterade att nästa år, 2008, liknande attacker mot Georgien åtföljdes av en rysk fysisk invasion. wired.com .

Clarke och Knake rapporterar att när de estniska myndigheterna informerade ryska tjänstemän att de hade spårat system som kontrollerade attacken till Ryssland, fanns det en viss indikation som svar på att upprörda patriotiska ryssar kunde ha agerat på egen hand. Oavsett gissningar om officiell inblandning, leder ryska myndigheters beslut att inte förfölja ansvariga personer – en fördragsskyldighet – tillsammans med expertutlåtanden om att ryska säkerhetstjänster lätt kan spåra de skyldiga om de så önskar, ryska observatörer att dra slutsatsen att attackerna tjänade ryska intressen.

Foto taget av Bill Woodcock för att "veta" Hillar Aarelaid, dåvarande chef för Estonian Computer Emergency Response Team , till NSP-Sec cybersecurity coordination community, i CERT-EE NOC natten till tisdagen den 8 maj 2007.

Den 23 maj 2012 sammankallade Atlantrådet en retrospektiv konferens, "Building a Secure Cyber ​​Future: Attack on Estonia, Five Years On" där cyberexperter som varit inblandade i konflikten diskuterade lärdomar och hur cyberområdet -konflikten förändrades av den estniska attacken och följande års attack mot Georgien. Konferensen anordnades av Jason Healey , chef för Atlantic Councils Cyber ​​Statecraft Initiative, och innehöll föredrag av Jaan Priisalu , generaldirektör för Estlands informationssystemmyndighet; Bill Woodcock , en amerikansk cybersäkerhetsexpert som hjälpte till i försvaret; Jonatan Vseviov , dåvarande försvarsminister och därefter ambassadör i USA; Heli Tiirmaa-Klaar, Estlands stora ambassadör för cybersäkerhet; och andra. Priisalu diskuterade attackens inverkan på det estniska finansiella systemet, medan Woodcock beskrev metoderna som den estniska CERT använde för att samordna defensiva åtgärder med nätoperatörer och deras motsvarigheter i grannländerna, och Vseviov talade om de bredare samhälleliga konsekvenserna av attacken, och Natos artikel 5 skyldigheter.

Ta på sig ansvaret för attackerna

En kommissarie för Nashi -pro-Kremlin-ungdomsrörelsen i Moldavien och Transnistrien , Konstantin Goloskokov (Goloskov i vissa källor), medgav att han organiserade cyberattacker mot estniska regeringsplatser. Goloskokov betonade dock att han inte utförde en order från Nashis ledning och sa att många av hans Nashi-kollegor kritiserade hans svar som för hårt.

Som de flesta länder erkänner inte Estland Transnistrien , en secessionistisk region i Moldavien. Som en okänd nation tillhör inte Transnistrien Interpol . Följaktligen gäller inget avtal om ömsesidig rättslig hjälp . Om invånare i Transnistrien var ansvariga kan utredningen allvarligt försvåras, och även om utredningen lyckas hitta sannolika misstänkta, kan de estniska myndigheternas rättsliga tillvägagångssätt begränsas till att utfärda arresteringsorder inom hela EU för dessa misstänkta. En sådan handling skulle till stor del vara symbolisk.

Chefen för Russian Military Forecasting Center, överste Anatolij Tsyganok bekräftade Rysslands förmåga att genomföra en sådan attack när han uttalade: " Dessa attacker har varit ganska framgångsrika, och idag hade alliansen inget att motsätta sig Rysslands virtuella attacker" , och noterade dessutom att dessa attacker inte gjorde det. bryta mot något internationellt avtal.

Inflytande på internationella militära doktriner

Attackerna fick ett antal militära organisationer runt om i världen att ompröva vikten av nätverkssäkerhet för modern militärdoktrin. Den 14 juni 2007 höll Nato- medlemmarnas försvarsministrar ett möte i Bryssel och utfärdade en gemensam kommuniké som lovade åtgärd till hösten 2007. Natos Cooperative Cyber ​​Defense Centre of Excellence (CCDCOE) inrättades i Tallinn den 14 maj 2008.

träffade Estlands president Toomas Hendrik Ilves USA:s president George W. Bush . Bland de ämnen som diskuterades var attackerna mot estnisk infrastruktur.

Händelserna har återspeglas i en kortfilm från NATO Department of Public Diplomacy War in Cyberspace .

Se även

• Bronsnatt
• Cyberattacker under kriget i Sydossetien 2008
• Allvarligt systemfel
• Ryska påverkansoperationer i Estland

externa länkar

• Cyber ​​War I: Estonia Attacked from Russia , av Kertu Ruus, European Affairs: Volym nummer 9, nummer 1–2 under vintern/våren 2008.
• Estniska attacker var ett cyberupplopp, inte krigföring, av Bill Brenner, 6 augusti 2007.
• Black Hat 2007: Estonia: Information Warfare and Strategic Lessons , av Gadi Evron, 26 juli 2007.
• Estland uppmanar ett fast EU- och Nato-svar på en ny form av krigföring: cyberattacker
• Massiva DDoS-attacker riktar sig mot Estland; Ryssland anklagade
• Cyberattack mot Estland väcker rädsla för "virtuella krig" Arkiverad 4 oktober 2008 på Wayback Machine
• Estland anklagar Ryssland för "cyberattack"
• Virtuella trakasserier, men på riktigt
• Digital rädsla uppstår efter databelägring i Estland
• EU uppmanade att fördjupa samarbetet efter Estlands cyberattacker
• Cyberpiraterna slår till i Estland
• Estland drabbats av "Moskva cyberkrig"
• Analys: Vem cyber slog Estland? av Shaun Waterman, UPI
• Hackare tar ner det mest kabelanslutna landet i Europa av Joshua Davis, Wired , 2007-08-21.
• Georgetown Journal of International Affairs rapport – Battling Botnets and Online Mobs ^{[ död länk ]} av Gadi Evron som skrev obduktionsanalysen av attackerna för den estniska CERT