Gruzija izviđači Ruski hacker - s fotografijama

U pokretu bez presedana, zemlja Gruzije - iritirana od strane napornih napada u kibernetičkim šutnjama - objavila je dvije fotografije navodnog hakera iz Rusije, Gruziji tvrde da su vodili trajnu, mjesečnu kampanju koja je ukrala povjerljive informacije od gruzijskih vladinih ministarstava, parlamenta, banaka i nevladinih organizacija.

Cert.gov.geOna od dvije slike navodnog ruskog hakera. Fotografija je izdana od strane vlade Gruzije.

U jednoj od fotografija, tamnokosi, bradati korisnik vrti se na zaslon računala, možda zbunjen o tome što se događa. Nekoliko minuta kasnije, prekida vezu svog računala, shvativši da je otkriven.

Fotografije su sadržane u izvješću koje navodi da su upadi potekli iz Rusije koja je u kolovozu 2008. godine pokrenula petodnevnu vojnu kampanju protiv Gruzije kojoj je prethodio val

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Fotografije o kojima je riječ oduzete su nakon što su istražitelji s računalnim timom za hitne slučajeve (Cert.gov.ge) Gruzijske vlade uspjeli mamiti korisnik računala u preuzimanju onoga što je smatrao datotekom koja sadrži osjetljive podatke. Zapravo, sadržavao je svoj vlastiti tajni špijunski program.

Pozadina

Georgia je počela istraživati ​​internetsko špijuniranje povezano s tim čovjekom u ožujku 2011. godine, nakon što je datoteka na računalu državnog službenika označena kao "sumnjiva" od strane ruskog antivirusnog programa program pod nazivom Dr. Web.

Istraga je otkrila sofisticiranu operaciju koja je postavila zlonamjerni softver na brojne gruzijske internetske stranice, ali samo na stranicama s određenim člancima koji bi zanimali vrste ljudi koje bi haker želio ciljati, rekao je Giorgi Gurgenidze, stručnjak za cyber sigurnosti sa Cert.gov.ge, koji obrađuje računalne sigurnosne incidente.

Novinske vijesti odabrane za privlačenje žrtava imale su naslove kao što su "Izaslanstvo NATO-a posjeta u Gruziji" i "US-Gruzijski sporazumi i sastanci" u izvješće koje je zajednički objavljeno s georadskim Ministarstvom pravde i Agencijom za razmjenu podataka LEPL, koja je dio ministarstva.

Detalji bitke

CERT-Georgia neće točno reći tko je to zaražena računalom. Ali ono što slijedi najbolje se opisuje kao epska elektronska borba između dobrih momaka Gruzije i visokokvalificiranog hakera - ili vjerojatno ekipe hakera sa sjedištem u Rusiji.

Agencija je brzo otkrila da su zaražene 300 do 400 računala smještenih u ključnim vladinim agencijama i prenošenje osjetljivih dokumenata na ispuštanje poslužitelja koje kontrolira osoba u pitanju. Kompromitirajuća računala formirala su botnet nadimak "Georbot".

Zlonamjerni softver je programiran da traži određene ključne riječi - kao što su SAD, Rusija, NATO i CIA - u Microsoft Word dokumentima i PDF datotekama. snimite snimke zaslona. Dokumenti su izbrisani u roku od nekoliko minuta od pada poslužitelja, nakon što je korisnik kopirao datoteke na svoje osobno računalo. Georgia je blokirala veze s poslužiteljima koji su primili dokumente. Zaražene računala su zatim očišćene od zlonamjernog softvera. No, unatoč otkrivanju njegove operacije, korisnik nije prestao. U stvari, on je pojačao svoju igru.

U sljedećem krugu poslao je seriju e-poruka vladinim dužnosnicima koji su izgledali da dolaze iz predsjednika Gruzije, s adresom "[email protected]". Te e-pošte sadržavale su zlonamjerni privitak PDF-a, navodno sadržavajući pravne informacije, s eksploatiranjem koji je isporučio zlonamjerni softver.

Niti sigurnosni softver nije otkrio eksploatator ni zlonamjerni softver.

Kako su napadi PDF napora

PDF napada koristio je XDP format datoteke, što je XML podatkovna datoteka koja sadrži kopiju standardne PDF datoteke koju je pohranjuje Base64. Metoda je istovremeno izbjegavala sve antivirusni softver i sustave za otkrivanje upada. Tek je u lipnju ove godine upozorio taj tim za računalne intervencije u Ujedinjenom Kraljevstvu nakon što su ciljane njezine vladine agencije. Georgia je vidjela takve napade više od godinu dana prije upozorenja. To je bio jedan od glavnih naznaka da se Gruzija ne bavi prosječnim hakerom, već onim koji je možda bio dio tima s čvrstim poznavanjem složenih napada, kriptografija i inteligencija. "Ovaj tip imao je vrhunske vještine", rekao je Gurgenidze. "Tijekom 2011, napadi su nastavljeni i postali sofisticiraniji. Istražitelji su otkrili da je osoba u pitanju povezana s još barem dva ruska hakera, kao i njemačka. Bio je aktivan i na nekim kriptografskim forumima. Ti tragovi, zajedno s nekim slabim sigurnosnim praksama, omogućili su istražiteljima da se približe njemu.

Zatim je postavljena zamka.

Družbenici iz Gruzije dopustili su korisniku da zaračunava jedno od svojih računala namjerno. Na tom su računalu stavili ZIP arhivu pod nazivom "Ugovor o Gruziji i Nigeriji". Uzeo je mamac, zbog čega je instaliran vlastiti špijunski program istražitelja.

Odatle je uključena web kamera, što je rezultiralo prilično jasnim fotografijama lica. No nakon pet do deset minuta veza je prekinuta, vjerojatno zbog toga što je korisnik znao da je hakiran. No, u tih nekoliko minuta njegovo računalo - poput onih koje je ciljala u gruzijskoj vladi - minirano je za dokumente.

Jedan dokument na Microsoft Wordu, napisan na ruskom jeziku, sadržavao je upute od upravitelja čovjeka nad kojim ciljevima zaraziti i kako. Ostali indicije koji upućuju na uključenost Rusije uključuju registraciju web stranice koja je korištena za slanje zlonamjernih poruka e-pošte. "

" "Još smo jednom identificirali ruske sigurnosne agencije", zaključuje.

Zbog napetih odnosa između Rusije i Gruzije, malo je vjerojatno da će čovjek na fotografiji - čije ime nije otkriven - ikada biti progonjen ako živi u Rusiji.