Estland under attack

Hämnd mot bankerna
Bankerna började attackeras redan 2004­–2005. Orsakerna var att de ibland vägrade ge lån eller delta i pengatvätt, och folk ville hämnas. Enstaka personer som var sura helt enkelt. Det är lätt att köpa en ddos-attack på internet, men en privatperson har inte råd att hålla en attack igång hur länge som helst. Sådana attacker är ganska likformiga, normalt används bara en typ av attack åt gången, till exempel tcp syn eller http get.

– Den 27 april 2007 möttes vi av en ”wall of sound”, alla möjliga typer av attacker samtidigt, vissa vi sett förr och andra vi inte hade sett förr. Det tyder på att många människor var inblandade. Normalt attackeras bara ett mål, men här försökte man lamslå hela samhället, som regeringsportaler, regeringspartiets webbsajter, tidningarna, bankerna och isp:erna, berättar Anto Veldre.

En översikt av hela attacken mot ett enskilt företag. Det började till vänster med en mycket måttlig attack natten till den 27:e april 2007 medan den stora mängden kom onsdag–torsdag för att sluta tvärt fredag morgon. Cert-EE uppskattar attacktrafiken till mer än 4 gigabit per sekund, men det är svårt att veta eftersom alla inkommande fibrer var överfyllda. Den legala trafiken vara bara någon promille av detta.



I den här förstoringen ser man hur attacken plötsligt upphörde klockan 03 på fredagen den 9:e maj 2007. Cert-EE antar att pengarna som koordinatorn betalt till bot-ägarna tog slut just då.

Hackers förstår inte
– En vanlig hacker brukar inte förstå hur samhället fungerar, men de som attackerade oss den här gången hade full insikt i detta. Attackerna mot isp:erna innebar att någon försökte bryta sig in i viktiga routrar för att komma åt finansiella intranät, till exempel betalkortsnäten.

Bland alla script-kiddie-attackerna fann vi en del väldigt intressanta lågnivåförsök, attacker som skulle vara så långsamma att de inte skulle uppmärksammas. Men alla sorters attacker upptäcktes och kunde ibland verifieras med skärmbilder från ryska diskussionsforum. Ryska bloggsidor uppdaterades ständigt med attackernas resultat och det fanns de som bad att få låna botnät och annan assistans.

Vi uppskattar att flera tusen ryssar utanför Estland bör ha deltagit i cyberattackerna. Alla på en gång. Ryssarna i Estland ägnade sig mest åt plundring och maskning, kanske för att de kände sig förbigångna av staten, säger Anto Veldre.

Inga hotelsebrev
Man kan fråga sig varför de attackerade. Det handlade inte om utpressning för ingen fick några hotelsebrev, men några höga medlemmar i ryska duman kom på blixtvisit just före 9 maj och försökte kräva en ny estnisk regering! Händelserna visade ganska klart vem som låg bakom och varför. Ingen hacker kan organisera ett händelseförlopp som det här.

– Så det fanns en plan och dagen D var klar. Vad gick fel? Avsikten var att slå och slå under ett par veckor och sedan skulle den undanskuffade, förgrämda ryska minoriteten göra revolution, precis som 1940. Ryssarna var så indoktrinerade att de reagerade redan den 26 april och det fanns ingen ilska kvar den 9 maj. Som jag förstår det hade 2007 valts ut som året då ”det” skulle ske. Esterna visste det och spelade med. Främmande makt hade valt att inte göra det hela särskilt synligt, utan i stället använda mediaförvillare, spin doctors, som skulle väcka nationella känslor. Tidtabellen slog fel och de var inte beredda att börja cyberattacken den 26:e. Estniska staten klarade av att hantera saken.

Efter ett tag visade det sig på estnisk-ryska diskussionsforum att man förstått att man gjorde självmål genom att störa bankerna där estniska ryssar hade sina pengar. Attackerna mot bankerna lugnade sig efter ett par dagar.