Gruzínští hackerové s ruskými hackery - s fotografiemi

V bezprecedentním pohybu země Gruzie, podrážděná přetrvávajícími útoky proti počítačové špionáži, zveřejnila dvě fotografie údajného hackera na bázi Ruska, který Gruzínci tvrdí, že vedli trvalou, měsíční kampaň, která ukradla důvěrné informace od gruzínských vládních ministerstev, parlamentu, bank a nevládních organizací.

Cert.gov.geOne ze dvou snímků údajného ruského hackera. Fotografie byla propuštěna vládou Gruzie.

Na jedné z fotografií tmavovlasý, vousatý uživatel se vrhl na obrazovku svého počítače, možná zmátl, co se děje. O několik minut později snížil spojení svého počítače a uvědomil si, že byl objeven.

Fotografie jsou obsaženy ve zprávě, která uvádí obtěžování z Ruska, které zahájilo v srpnu 2008 pětidenní vojenskou kampaň proti Gruzii, vlna cyberattaků

Fotky byly vzaty poté, co vyšetřovatelé s gruzínskou vládou Computer Emergency Response Team (Cert.gov.ge) podařilo návnadu uživatel počítače, který si stáhl soubor, který považoval za soubor obsahující citlivé informace. Ve skutečnosti obsahoval svůj vlastní program tajné špionáže. Mugshot byl převzat z vlastní webové kamery.

Pozadí

Gruzie začala vyšetřovat kybernetické špehování spojené s tímto mužem v březnu 2011 poté, co soubor na počítači patřil vládnímu úředníkovi označen ruským antivirusem za "podezřelý" program nazvaný Dr.Web.

Šetření odhalilo důmyslnou operaci, která zasazovala škodlivý software na mnoho gruzínských zpravodajských webových stránek, ale pouze na stránkách s konkrétními články, které by zajímaly druhy lidí, na které by se hacker chtěl zaměřit, řekl Giorgi Gurgenidze, odborník na kybernetickou bezpečnost s Cert.gov.ge, který se zabývá bezpečnostními incidenty.

Zprávy vybrané tak, aby přitahovaly oběti, měly titulky jako "návštěva delegace NATO v Gruzii" a "dohody mezi USA a Gruzií" na zprávu, společně s ministerstvem spravedlnosti Gruzie a agenturou pro výměnu dat LEPL, která je součástí ministerstva.

Podrobnosti o bitvě

CERT-Gruzie neřekne přesně, kdo to st infikovaný počítač patřil. To, co následovalo, je nejlépe popsáno jako epická elektronická bitva mezi dobrými kluky Gruzie a vysoce kvalifikovaným hackerem - nebo pravděpodobným týmem hackerů - v Rusku.

Agentura rychle zjistila, že bylo infikováno 300 až 400 počítačů umístěných v klíčových vládních agenturách a přenášení citlivých dokumentů na serverové servery řízené dotyčnou osobou. Kompromitované počítače vytvořily botnet přezdívanou "Georbot".

Škodlivý software byl naprogramován tak, aby vyhledával konkrétní klíčová slova - například USA, Rusko, NATO a CIA - v dokumentech a formátech PDF aplikace Microsoft Word. pořídit screenshoty. Dokumenty byly odstraněny během několika minut od serverů pro spuštění, poté, co uživatel zkopíroval soubory do vlastního počítače.

Gruzie blokovala připojení k serverům drop, které přijímaly dokumenty. Infikované počítače byly poté očištěny od malware. Ale i přesto, že jeho operace byla objevena, uživatel se nezastavil. Ve skutečnosti zesílil svou hru.

V dalším kole poslal sérii e-mailů vládním činitelům, které se zdály pocházet od prezidenta Gruzie s adresou "[email protected]". Tyto e-maily obsahovaly škodlivou přílohu PDF, která údajně obsahovala právní informace, a zneužívala tento dodávaný malware.

Zabezpečení ani malware nebyly detekovány ani pomocí zneužívaného softwaru

Jak fungovaly útoky PDF

Záchvaty PDF používaly formát souborů XDP, což je datový soubor XML, který obsahuje kopii standardního souboru PDF kódem Base64. Metoda najednou unikla veškerému antivirovému softwaru a systémům detekce narušení. Teprve v červnu letošního roku varoval britský tým pro počítačové krizové reakce po tom, co se jeho vládní agentury zaměřily. Gruzie viděla takové útoky více než rok před varováním.

To byl jeden z hlavních klíčových slov, že se Gruzie nezajímala o průměrného hackera, ale ten, který mohl být součástí týmu se solidními znalostmi komplexních útoků, kryptografii a inteligenci.

"Tento člověk měl vysoce kvalitní dovednosti," říká Gurgenidze.

V průběhu roku 2011 útoky pokračovaly a staly se ještě sofistikovanějšími. Vyšetřovatelé zjistili, že dotyčná osoba byla spojena s nejméně dvěma dalšími ruskými hackery, stejně jako německými. On byl také aktivní na některých kryptografických fórech. Tyto stopy spolu se slabými bezpečnostními praktikami umožnily vyšetřovatelům, aby se k němu přiblížili.

Pak byla nastavena past.

Úředníci z Gruzie povolili uživateli infekci jednoho z jejich počítačů na účel. Na tomto počítači umístili ZIP archív s názvem "Dohoda mezi Gruzií a NATO". Vzal návnada, která způsobila instalaci vlastního špehovacího programu vyšetřovatelů.

Odtud byla zapnutá jeho webová kamera, což vyústilo v poměrně jasné fotografie jeho tváře. Ale po pěti až deseti minutách bylo spojení odříznuto, pravděpodobně proto, že uživatel věděl, že byl napaden. Ale v těch několika minutách byl jeho počítač - jako ty, na které se zaměřil v gruzínské vládě - vyčerpán pro dokumenty.

Jeden dokument aplikace Microsoft Word, napsaný v ruštině, obsahoval instrukce od psaného člověka, nad kterými má být infekce cíle a jak. Jiné nepřímé důkazy poukazující na účast Ruska zahrnovaly registraci webové stránky, která byla použita k odesílání škodlivých e-mailů. Byla zaregistrována na adrese vedle federální bezpečnostní služby, dříve známá jako KGB, uvedla zpráva.