Georgia outs Oroszország-alapú hacker -val képek

Soha nem látott lépésként Grúzia országa - amelyet a tartós cyber-kémkedés támad - idézett két fotót egy állítólagos oroszországi hackerről, aki A grúz államok azt állítják, hogy tartós, hónapos kampányt folytatnak, amely ellopta a grúz kormányzati minisztériumoktól, parlamenttől, bankoktól és nem kormányzati szervezetektől származó bizalmas információkat.

Cert.gov.geA állítólagos orosz hacker két képének egyike. A fotót Grúzia kormánya kiadta.

Az egyik fotón egy sötét hajú, szakállas felhasználó csatlakozik a számítógép képernyőjéhez, esetleg zavarba ejtve, hogy mi történik. Pár perccel később megszakítja a számítógép kapcsolatát, felismerve, hogy felfedezték.

A fotókat olyan jelentés tartalmazza, amely Oroszországból eredő behatolásokra hivatkozik, amely 2008 augusztusában öt napos katonai kampányt indított Grúziával szemben, amelyet előzte meg

[

] A szóban forgó fotók akkor készültek el, amikor a nyomozók a grúz kormány számítógépes sürgősségi reagáló csapata (Cert.gov.ge) sikerült csalit a számítógép felhasználója letöltötte azt, amit egy érzékeny információt tartalmazó fájlnak tekintett. Valójában saját titkos kémprogramot tartalmazott. A mugshotot saját webkamerájából vették át.

Background

Georgia 2011 márciusában kezdte megvizsgálni az internetes kémkedést, miután egy kormányzati tisztviselőhöz tartozó számítógépen lévő fájlt "orosz vírusirtó" gyanúsnak nyilvánították a Dr. Web programmal.

A vizsgálat egy olyan kifinomult műveletet fedezett fel, amely rosszindulatú szoftvert ültetett számos grúz híroldalra, de csak olyan oldalakon, amelyek olyan tárgyakkal foglalkoznak, amelyek érdeklődnének azoktól az emberektől, akiket egy hacker célozni kíván, mondta Giorgi Gurgenidze, a cyberbiztonsági szakember a Cert.gov.ge-szel, amely számítógépes biztonsági incidenseket kezel.

Az áldozatok felvételére kiválasztott hírlevelek olyan címsorokat tartalmaztak, mint a "NATO küldöttségi látogatás Grúziában" és "Amerikai-grúz megállapodások és találkozók". a grúziai igazságügyi minisztérium és a minisztérium részét képező LEPL adatcsere ügynökséggel közösen közzétett jelentés.

A csata részletei

A CERT-Georgia nem fog pontosan meghatározni, st fertőzött számítógép tartozott. A követetteket azonban legjobban az epikus elektronikus csaták jellemzik Grúzia jó fiúinak és egy magasan képzett hackernek - vagy valószínűleg Oroszországban működő hackereknek.

Az ügynökség hamar rájött, hogy a kulcsfontosságú kormányzati szervekben található 300-400 számítógépek fertőzöttek voltak és az érzékeny dokumentumokat a szóban forgó személy által ellenőrzött szerverek kiszolgálására továbbítja. A kompromittált számítógépek egy botnetet hoztak létre, amelyet "Georbot" -nak neveztek.

A rosszindulatú szoftvert úgy tervezték, hogy konkrét kulcsszavakat - például az USA, Oroszország, NATO és CIA - keresett a Microsoft Word dokumentumokban és PDF-fájlokban, készítsen screenshotokat. A dokumentumokat néhány perc múlva törölték a cseppkiszolgálóktól, miután a felhasználó áttöltötte a fájlokat saját számítógépére.

Georgia megakadályozta a kapcsolatot a dokumentumokat fogadó cseppszerverekkel. A fertőzött számítógépeket ezután megtisztították a rosszindulatú programtól. De annak ellenére, hogy tudta, hogy működését felfedezték, a felhasználó nem állt meg. Valójában növelte a játékát.

A következő fordulóban több e-mail üzenetet küldött kormányzati tisztviselőknek, akik úgy tűnt, hogy Grúzia elnöktől származnak, az "[email protected]" címen. Ezek az e-mailek rosszindulatú PDF-mellékletet tartalmaznak, amely állítólag jogi információkat tartalmaz, és rosszindulatú programokat használtak.

A biztonsági szoftver nem érzékelte sem a kizsákmányolást, sem a rosszindulatú programot.

A PDF támadások működése

A PDF támadások az XDP fájlformátumot használják, amely egy XML-adatfájl, amely egy standard PDF fájl Base64 kódolt példányát tartalmazza. A módszer egy időben megkerülte az antivírus szoftvereket és a behatolásjelző rendszereket. Csak az ez év júniusában az U. K. Computer Emergency Response Team figyelmeztette, miután kormányzati ügynökségeket célzott meg. Grúzia több mint egy évet látott a figyelmeztetést megelőzően.

Ez volt az egyik legfontosabb tényező, hogy Grúzia nem egy átlagos hackerrel foglalkozott, hanem aki összetett támadásokkal, titkosítás és intelligencia.

"Ez a fickó magas színvonalú képességekkel rendelkezett" - mondta Gurgenidze. <2011> 2011-ben a támadások tovább folytatódtak, és egyre kifinomultabbá váltak. A nyomozók azt találták, hogy a szóban forgó személy legalább két másik orosz hackerrel és egy németvel kapcsolatban áll. Néhány kriptográfiai fórumon is aktív volt. Ezek a nyomok és néhány gyenge biztonsági gyakorlat lehetővé tette a nyomozók számára, hogy közelebb kerüljenek hozzá.

Ezután csapdába helyezték a csapdát.

A grúz tisztviselők lehetővé tették a felhasználó számára, hogy megfertőzze az egyik számítógépét. A számítógépen ZIP-archívumot helyeztek el "Grúz-Nato megállapodás" címmel. Elvette a csalit, ami miatt a kutatók saját kémprogramját telepítették.

Innen a webkamera be volt kapcsolva, ami meglehetősen tiszta képet adott az arcáról. De öt-tíz perc elteltével a kapcsolat megszűnt, feltételezhetően azért, mert a felhasználó tudta, hogy fel lett csapva. De azokban a pár percben a számítógépeihez hasonlóan a grúz kormányhoz fűződő könyveket bányásszák a dokumentumokhoz.

Egy orosz nyelven írt Microsoft Word dokumentum tartalmazta az ember kezelőjének utasításait, hogy mely célokat kell megfertőzni és hogyan. Az orosz beavatkozásra utaló egyéb körülményeket tartalmazott egy rosszindulatú e-mailek elküldésére használt weboldal regisztrációja. A jelentést az ország Szövetségi Biztonsági Szolgálata mellé címezték, korábban a KGB néven ismert.

"Megállapítottuk már az orosz biztonsági ügynökségeket" - zárja le.

A feszült kapcsolatok miatt Oroszország és Grúzia között, valószínűtlen, hogy a fotón levő ember - akinek a neve nem került nyilvánosságra - valaha is üldözni fog, ha Oroszországban él.