Грузинские хакеры из России с фотографиями

В беспрецедентном движении страна Грузии, раздраженная постоянными кибер-шпионскими атаками, опубликовала две фотографии предполагаемого хакера России, который, Грузины заявили, что вела постоянную месячную кампанию, которая украла конфиденциальную информацию от министерств, парламентов, банков и неправительственных организаций Грузии.

Cert.gov.geОдним из двух изображений предполагаемого российского хакера. Фотография была выпущена правительством Грузии.

На одной из фотографий темноволосый бородатый пользователь заглядывает в экран своего компьютера, возможно, озадаченный тем, что происходит. Через несколько минут он отключил связь своего компьютера, осознав, что он был обнаружен.

Фотографии содержатся в отчете, в котором утверждается, что вторжения произошли из России, в результате которой в августе 2008 года против Грузии была начата пятидневная военная кампания, которой предшествовали волна кибератак.

[Читать дальше: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Фотографии, о которых идет речь, были сделаны после того, как следователи с командой правительства США по компьютерному аварийному реагированию (Cert.gov.ge) компьютерный пользователь загрузил то, что он считал файлом, содержащим конфиденциальную информацию. Фактически, в нем была своя тайная шпионская программа.

Предыстория

Грузия начала расследование кибер-шпионажа, связанного с этим человеком в марте 2011 года, после того, как файл на компьютере, принадлежащий государственному чиновнику, был помечен как «подозрительный» российским антивирусом программа под названием «Доктор Веб».

В расследовании была обнаружена сложная операция, которая устанавливала вредоносное программное обеспечение на многочисленных грузинских новостных сайтах, но только на страницах с конкретными статьями, которые будут интересовать людей, которых хотел бы атаковать хакер, сказал Гиоргий Гургенидзе, специалист по кибербезопасности с Cert.gov.ge, который занимается инцидентами компьютерной безопасности.

В новостях, отобранных для привлечения жертв, были такие заголовки, как «визит делегации НАТО в Грузии» и «американо-грузинские соглашения и встречи» к докладу, совместно опубликованному с Министерством юстиции Грузии и Агентством обмена данными LEPL, которое является частью министерства.

Подробности битвы

CERT-Georgia не скажет точно, кто эта пихта зараженный компьютер. Но последующее лучше всего описывать как эпическое электронное сражение между хорошими парнями Грузии и высококвалифицированной хакерской или вероятной группой хакеров, базирующейся в России.

Агентство быстро обнаружило, что 300-400 компьютеров, расположенных в ключевых государственных учреждениях, были инфицированы и передачу чувствительных документов для удаления серверов, контролируемых данным лицом. Скомпрометированные компьютеры образовали ботнет с именем «Georbot».

Вредоносная программа была запрограммирована на поиск определенных ключевых слов - таких как США, Россия, НАТО и ЦРУ - в документах и ​​PDF-документах Microsoft Word и в конечном итоге была изменена для записи аудио и сделать скриншоты. Документы были удалены в течение нескольких минут от серверов сбрасывания после того, как пользователь скопировал файлы на свой собственный компьютер.

Грузия заблокировала подключения к серверам сбрасывания, получающим документы. Затем зараженные компьютеры были очищены от вредоносного ПО. Но, зная, что его операция была обнаружена, пользователь не остановился. Фактически, он активизировал свою игру.

В следующем раунде он отправил ряд писем правительственным чиновникам, которые, как представляется, пришли от президента Грузии с адресом «[email protected]». Эти письма содержали вредоносное вложение в PDF, содержащее юридическую информацию, с эксплойтом, который поставлял вредоносное ПО.

Ни один из эксплойтов и вредоносных программ не был обнаружен программным обеспечением безопасности.

Как работали атаки PDF

Атаки PDF использовали формат файла XDP, который является файлом данных XML, который содержит кодированную в Base64 копию стандартного PDF-файла. Метод в свое время уклонился от всех антивирусных программ и систем обнаружения вторжений. Только в июне этого года компьютер компьютерной аварийной реакции U.K предупредил об этом после того, как его правительственные учреждения были нацелены. Такие нападения в Грузии наблюдались более чем за год до предупреждения.

Это был один из главных признаков того, что Грузия не имела дело со средним хакером, но тот, кто, возможно, был частью команды с твердым знанием сложных атак, криптография и разведка.

«У этого парня были навыки высокого класса», - сказал Гургенидзе.

В течение 2011 года атаки продолжались и стали более изощренными. Исследователи обнаружили, что этот человек был связан как минимум с двумя российскими хакерами, а также с немецким. Он также был активен на некоторых форумах криптографии. Эти подсказки, наряду с некоторыми слабыми методами безопасности, позволили следователям приблизиться к нему.

Затем была установлена ​​ловушка.

Должностные лица Грузии разрешили пользователю заражать один из своих компьютеров специально. На этом компьютере они разместили ZIP-архив под названием «Соглашение Грузии-НАТО». Он взял приманку, из-за которой была установлена ​​собственная шпионская программа следователя.

Оттуда была включена его веб-камера, что привело к довольно четким фотографиям его лица. Но через 5-10 минут связь была отключена, по-видимому, потому, что пользователь знал, что он был взломан. Но за эти несколько минут его компьютер, как и те, которые он нацелил на грузинское правительство, был заминирован за документы.

В одном документе Microsoft Word, написанном на русском языке, содержались инструкции от обработчика человека, по каким целям заражать и как. Другие косвенные доказательства, указывающие на участие России, включали регистрацию веб-сайта, который использовался для отправки вредоносных писем. Он был зарегистрирован на адрес рядом с Федеральной службой безопасности страны, ранее известной как КГБ.

«Мы еще раз идентифицировали российские силовые структуры», - заключает он.

Из-за напряженных отношений между Россией и Грузией маловероятно, что человек на фотографии, чье имя не было раскрыто, будет преследоваться по суду, если он будет жить в России.