Первым о кибератаке сообщил оппозиционный телеканал Mtavari Arkhi. Их сайт был недоступен несколько часов утром 25 января. Атака началась в 5 утра. Как сообщают в телекомпании, часть данных была удалена с сайта.
На следующий день об аналогичных проблемах сообщило ТВ Formula. Сайт канала был недоступен на протяжении нескольких часов, после чего работал с задержкой.
«Веб-страница была недоступна несколько часов, но ее удалось восстановить. Техническая служба выясняет детали хакерской атаки», — говорилось в сообщении Formula.
Ранее, 23 января, Лаборатория изучения советского прошлого SovLab также опубликовала заявление о кибератаке. Причем – со стороны России.
«На сервер сайта архива SovLab (archive.ge) происходят DDoS-атаки, целью которых является нарушение работы сервера. В последние дни интенсивность атак возрастает в геометрической прогрессии, особенно со стороны России. Интенсивность попыток входа на сайт превышает 700 тысяч в сутки», — отметили в организации.
В SovLab также сообщили, что в ходе DDoS-атаки злоумышленники отправляют тысячи поддельных запросов с целью превысить пропускную способность, перегрузить ресурсы сервера и перегрузить систему.
Утром 26 января хакерской атаке подвергся и сайт президента Грузии Саломе Зурабишвили. На протяжении нескольких часов на главной странице появлялось изображение черепа с надписью: «Hacked by Cozy Bear Slava Rossia» («Хакнуто со стороны Cozy Bear Слава России»). После чего при входе на сайт president.ge пользователи видели сообщение «Under Construction» («На стадии разработки»).
Андро Гоциридзе: постсоветский регион – киберполигон для России
Кто такие Cozy Bear
Западные спецслужбы связывают Cozy Bear, также известную как APT29, с российскими Службой внешней разведки и Федеральной службой безопасности. Хотя в Кремле причастность к действиям хакерской группировки отрицают.
В 2016 году Cozy Bear обвиняли во взломе сети Национального комитета Демократической партии США. В конце 2020-го группировке приписали организацию кибератаки с использованием софта компании SolarWinds – тогда хакерам удалось проникнуть в сети девяти правительственных учреждений США. Атака затронула, в том числе, Госдепартамент, министерства финансов, торговли и энергетики и частично Пентагон.
В 2023 году хакеры пытались взломать компьютеры десятков дипломатов в посольствах в Украине. По данным специалистов по кибербезопасности, в середине апреля 2023 года польский дипломат разослал по электронной почте в различные посольства объявление о продаже подержанного седана BMW, находящегося в Киеве. Хакеры Cozy Bear перехватили это объявление и внедрили в него вредоносное программное обеспечение, замаскировав его под альбом с фотографиями автомобиля. Попытки открыть фото приводили к заражению компьютера пользователя.
Пока непонятно, связаны ли случаи атак на оппозиционные телеканалы и веб-страницу администрации президента между собой, однако, по словам консультанта по киберстратегии и основателя исследовательского центра CYSEC Андро Гоциридзе, эти инциденты почти наверняка связаны с Российской Федерацией.
«Это единственная страна, враждебно настроенная к Грузии. Пока что неясно, какого типа были эти атаки. Нет достоверной информации. Но предположительно они могли быть совершены для того, чтобы как проверить безопасность, так и посеять панику или подорвать демократический процесс».
Стоит отметить, что сообщения о кибератаках начали поступать после волны ложных сообщений о бомбах. За последний месяц в Грузии участились сигналы о минировании аэропорта, школ и крупных торговых центров Батуми.
В Службе госбезопасности заявили, что ложные сообщения о взрывных устройствах поступали в страну из-за рубежа, а некоторые из них были связаны с некой «международной сетевой игрой». Но специалисты в области информационных технологий предполагают, что за угрозами, возможно, стоит Кремль. Этот сценарий может иметь две потенциальные задачи: изучение специфики работы грузинских спецслужб или сеяние паники среди населения.
Следует также отметить, что это не первые случаи, когда на грузинские сайты осуществляется кибератака. Одна из последних крупнейших атак произошла в 2019 году. Тогда хакеры взломали не только сайт президента, но и серверы грузинских телеканалов Imedi, Maestro и GDS, а также сайты судов и мэрий Батуми, Кутаиси и органов местного самоуправления.
До этого подобного масштаба хакерской атаке Грузия подверглась в августе 2008 года, когда параллельно с крупномасштабными наземными, морскими и воздушными ударами, Россия начала массированное каибернападение на коммуникационные сети страны, парализовав новостные каналы, правительственные веб-сайты, интернет-провайдеров и частично банковский сектор. Это был первый прецедент использования кибератак в сочетании с военными операциями.
По словам Андро Гоциридзе, по сравнению с 2008 годом сегодня виртуальная защита Грузии в лучшем состоянии, поскольку в стране были введены регуляции того, как должна работать критическая инфраструктура, есть правила кибербезопасности. Тем не менее, российская киберугроза по-прежнему остается существенной опасностью для Грузии.
Игры с безопасностью: кто стоит за ложными сообщениями о взрывах в Грузии
