Gruzja poza hakerem z Rosji - ze zdjęciami

W bezprecedensowym ruchu, kraj Gruzji - poirytowany ciągłymi atakami cyber-szpiegów - opublikował dwa zdjęcia domniemanego hakera z Rosji, który, Gruzini twierdzą, że prowadzili trwałą, trwającą miesiąc kampanię, która ukradła poufne informacje od gruzińskich ministerstw, parlamentów, banków i organizacji pozarządowych.

Cert.gov.ge Jedna z dwóch wizerunków domniemanego rosyjskiego hakera. Zdjęcie zostało wydane przez rząd Gruzji. ​​

Na jednym ze zdjęć, ciemnowłosy, brodaty użytkownik zagląda na ekran komputera, być może zdziwiony tym, co się dzieje. Kilka minut później odciął połączenie z komputerem, zdając sobie sprawę, że został odkryty.

Zdjęcia znajdują się w raporcie, który twierdzi, że doszło do włamań z Rosji, która rozpoczęła sierpniową kampanię wojskową w sierpniu 2008 roku przeciwko Gruzji, poprzedzona fala cyberataków.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Zdjęcia zostały zrobione po tym, jak śledczy z zespołem ratownictwa komputerowego rządu gruzińskiego (Cert.gov.ge) zdołali przynętę użytkownik komputera pobierał to, co uważał za plik zawierający poufne informacje. W rzeczywistości zawierał własny tajny program szpiegowania. Mugshot został zrobiony z własnej kamery internetowej.

Tło

Gruzja rozpoczęła śledztwo w sprawie szpiegowania cybernetycznego powiązanego z tym człowiekiem w marcu 2011 r. Po tym, jak plik na komputerze należącym do urzędnika państwowego został oznaczony jako "podejrzany" przez rosyjski program antywirusowy program o nazwie Dr Web.

Badanie ujawniło wyrafinowaną operację, która podsadzała złośliwe oprogramowanie na licznych gruzińskich serwisach informacyjnych, ale tylko na stronach z konkretnymi artykułami, które interesowałyby ludzi, których haker chciałby celować, powiedział Giorgi Gurgenidze, specjalista ds. cyberbezpieczeństwa z Cert.gov.ge, który zajmuje się incydentami związanymi z bezpieczeństwem komputerowym.

Historie wybrane do przyciągnięcia ofiar miały nagłówki takie jak "Wizyta delegacji NATO w Gruzji" oraz "Porozumienia i spotkania amerykańsko-gruzińskie", zgodnie z do raportu, opublikowanego wspólnie z Ministerstwem Sprawiedliwości Gruzji i agencją wymiany danych LEPL, która jest częścią ministerstwa.

Szczegóły bitwy

CERT-Georgia nie powie dokładnie kto to jodła st zainfekowany komputer należał do. Ale to, co nastąpiło później, najlepiej opisuje epicka bitwa elektroniczna pomiędzy dobrymi Gruzją a wysoko wykwalifikowanym hackerem - lub prawdopodobnie zespołem hakerów z Rosji.

Agencja szybko odkryła, że ​​zainfekowano 300-400 komputerów znajdujących się w kluczowych agencjach rządowych i przesyłanie poufnych dokumentów do serwerów upuszczających kontrolowanych przez daną osobę. Zaatakowane komputery utworzyły botnet o pseudonimie "Georbot".

Złośliwe oprogramowanie zostało zaprogramowane do wyszukiwania określonych słów kluczowych - takich jak USA, Rosja, NATO i CIA - w dokumentach i plikach Microsoft Word, a następnie zostało zmodyfikowane w celu rejestrowania dźwięku i robić zrzuty ekranu. Dokumenty zostały usunięte w ciągu kilku minut od serwerów upuszczających, po tym, jak użytkownik skopiował pliki na swój komputer.

Gruzja zablokowała połączenia z serwerami odbierającymi otrzymującymi dokumenty. Zarażone komputery zostały następnie oczyszczone ze złośliwego oprogramowania. Ale mimo że wiedział, że jego operacja została wykryta, użytkownik nie przestał. W rzeczywistości wziął udział w grze.

W następnej rundzie wysłał serię e-maili do urzędników rządowych, którzy wyglądali tak, jakby pochodzili od prezydenta Gruzji, z adresem "[email protected]". Te e-maile zawierały szkodliwy plik PDF, rzekomo zawierający informacje prawne, z exploitem dostarczającym złośliwe oprogramowanie.

Ani exploit, ani złośliwe oprogramowanie nie zostały wykryte przez oprogramowanie zabezpieczające.

Jak działały ataki PDF

Ataki PDF wykorzystywały format pliku XDP, który jest plikiem danych XML, który zawiera zakodowaną w standardzie Base64 kopię standardowego pliku PDF. Metoda jednorazowa omijała wszystkie programy antywirusowe i systemy wykrywania włamań. Dopiero w czerwcu tego roku zespół ratownictwa komputerowego w Wielkiej Brytanii ostrzegł o tym po skierowaniu swoich agencji rządowych. Gruzja widziała takie ataki ponad rok przed ostrzeżeniem.

Była to jedna z głównych wskazówek, że Gruzja nie miała do czynienia ze zwykłym hakerem, ale która mogła być częścią zespołu z solidną wiedzą o złożonych atakach, kryptografia i inteligencja.

"Ten facet miał wysokiej klasy umiejętności," powiedział Gurgenidze.

Przez cały 2011 r. ataki trwały i stawały się coraz bardziej wyrafinowane. Badacze stwierdzili, że dana osoba była powiązana z co najmniej dwoma innymi rosyjskimi hakerami, a także z Niemcami. Był także aktywny na forach kryptograficznych. Te wskazówki, wraz z pewnymi słabymi procedurami bezpieczeństwa, pozwoliły badaczom zbliżyć się do niego.

Wtedy ustawiono pułapkę.

Urzędnicy z Georgii zezwolili na zainfekowanie jednego ze swoich komputerów celowo. Na tym komputerze umieścili archiwum ZIP zatytułowane "Umowa Gruzińsko-Nato". Wziął przynętę, co spowodowało zainstalowanie własnego programu szpiegowskiego śledczego.

Stamtąd jego kamera internetowa była włączona, co skutkowało dość wyraźnymi zdjęciami jego twarzy. Ale po pięciu do dziesięciu minutach połączenie zostało przerwane, prawdopodobnie dlatego, że użytkownik wiedział, że został zhackowany. Ale w ciągu tych kilku minut jego komputer - taki jak ten, którego celował w gruzińskim rządzie - został wydobyty z dokumentów.

Jeden dokument Microsoft Word, napisany po rosyjsku, zawierał instrukcje od obsługi tego człowieka, na temat których celów zarażać i w jaki sposób. Inne poszlaki wskazujące na rosyjskie zaangażowanie obejmowały rejestrację strony internetowej, która służyła do wysyłania złośliwych wiadomości e-mail. Została zarejestrowana na adres znajdujący się obok Federalnej Służby Bezpieczeństwa kraju, wcześniej znanej jako KGB, podała raport.

"Znaleźliśmy rosyjskie agencje bezpieczeństwa, jeszcze raz", konkluduje.

Z powodu napiętych stosunków między Rosją a Gruzją jest mało prawdopodobne, że mężczyzna na zdjęciu, którego nazwisko nie zostało ujawnione, byłby ścigany, gdyby mieszkał w Rosji.