Georgian ulkopuoliset Venäjä-pohjainen hakkeri-valokuvilla

Georgian maa, jota ärsyttävät jatkuvat tietoverkkohyökkäykset, on julkaissut ennennäkemättömässä toiminnassa kaksi kuvaa väitetystä Venäjän-pohjaisesta hakkereesta. Georgian väitteet vaativat jatkuvaa kuukausittaista kampanjaa, joka varasti Georgian hallituksen ministereiltä, ​​parlamenteilta, pankkeilta ja kansalaisjärjestöiltä luottamuksellisia tietoja.

Cert.gov.geJos kaksi kuvaa oletetusta venäläisestä hakkereesta. Georgian hallitus julkaisi valokuvan.

Yhdessä valokuvista, tummanharmaa, partakätevä käyttäjä kilpailee tietokoneen näytölle, kenties hämmentävää mitä tapahtuu. Minuutteja myöhemmin, hän leikkaa tietokoneensa yhteyden, kun hän ymmärtää, että hänet on löydetty.

Kuvat sisältyvät raporttiin, joka väittää Venäjältä peräisin oleville tunkeutumisille, jotka käynnistivät elokuussa 2008 Georgiaan kohdistuvan viiden päivän sotakampanjan, jota edeltää

Kyseiset valokuvat on otettu sen jälkeen, kun Georgian hallituksen Computer Emergency Response Teamin (Cert.gov.ge) tutkijat onnistuivat syöttämään syöttiä.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta] tietokoneen käyttäjä lataa ajatuksensa arkaluonteisia tietoja sisältävään tiedostoon. Itse asiassa se sisälsi oman salaisen vakoilusuunnitelman. Mugshot otettiin omalta webbikameraltaan.

Taustaa

Georgia alkoi tutkia tämän miehen yhteydessä olevaa verkkohuijausta maaliskuussa 2011, kun hallituksen virkamiehelle kuuluva tiedosto oli "epäilyttävä" Venäjän virustorjunnalla ohjelma nimeltä Dr. Web.

Tutkimuksessa paljastui hienostunut operaatio, joka asetti haittaohjelmia useille georgialaisille uutissivustoille, mutta vain sivuilla, joissa on erityisiä artikkeleita, jotka kiinnostaisivat ihmisryhmiä, joita hakkeri haluaisi kohdistaa, kertoi Giorgi Gurgenidze, tietoturva-alan asiantuntija Cert.gov.ge: n kanssa, joka käsittelee tietoturvahäiriöitä.

Uhrien houkuttelemiseen valitut uutiset olivat otsikoita, kuten "Naton valtuuskunta vierailu Georgiassa" ja "Yhdysvaltojen ja Georgian sopimukset ja kokoukset" mukaan

Taistelun yksityiskohdat

CERT-Georgia ei sano täsmälleen, kuka kukaan kuolee st saastunut tietokone kuului. Mutta mitä seuraa, sitä parhaiten kuvataan eeppiseksi elektroniseksi taisteluksi Georgian hyvien miesten ja erittäin ammattitaitoisen hakkerin tai todennäköisen Venäjän-hakkerihenkilön kanssa.

Virasto havaitsi nopeasti, että avainasemassa oleviin virastoihin löydettiin 300-400 tietokonetta ja välittää arkaluonteisia asiakirjoja pudottamaan kyseisen henkilön hallitsemia palvelimia. Haavoittunut ohjelmisto oli ohjelmoitu etsimään tiettyjä avainsanoja - kuten Yhdysvalloissa, Venäjällä, NATO: ssa ja CIA: ssa - Microsoft Word -dokumentteissa ja PDF-tiedostoissa, ja sitä muutettiin lopulta ääni- ja äänitiedostojen tallentamiseksi. ottaa kuvakaappauksia. Dokumentit poistettiin muutamassa minuutissa pudotuspalvelimista sen jälkeen, kun käyttäjä oli kopioinut tiedostot omaan tietokoneeseensa.

Georgia estää yhteydet pudotuspalvelimiin, jotka vastaanottavat asiakirjoja. Tartunnan saaneet tietokoneet puhdistettiin sitten haittaohjelmasta. Mutta huolimatta siitä, että hänen toimintaansa oli löydetty, käyttäjä ei pysähtynyt. Itse asiassa hän lisäsi peliä.

Seuraavalla kierroksella hän lähetti sähköpostiviestit hallituksen virkamiehille, jotka näyttivät tulevan Georgian presidentiltä osoitteella "[email protected]". Nämä sähköpostit sisälsivät haitallisen PDF-liitetiedoston, joka sisälsi oikeudellisia tietoja ja haittaohjelmia sisältävä hyödyntäminen.

Turvallisuusohjelmisto ei löytänyt haittaohjelmia tai haittaohjelmia.

Miten PDF-hyökkäykset toimivat

PDF-hyökkäykset käyttivät XDP-tiedostomuotoa, joka on XML-tiedosto, joka sisältää Base64-koodatun kopion tavallisesta PDF-tiedostosta. Menetelmä kerrallasi vältti kaikki virustentorjuntaohjelmistot ja tunkeutumisen havainnointijärjestelmät. Ainoastaan ​​tämän vuoden kesäkuussa U.K: n Computer Emergency Response Team varoitti sitä sen jälkeen, kun sen viranomaiset olivat kohdistettuja. Georgia näki tällaiset hyökkäykset yli varoituksen ennen vuotta.

Tämä oli yksi tärkeimmistä johtopäätöksistä, joiden mukaan Georgia ei käsittele keskimääräistä hakkeria, mutta joka olisi voinut olla osa tiimiä, jolla on hyvät tiedot monimutkaisista hyökkäyksistä, salaus ja älykkyys.

"Tämä kaveri oli korkeatasoisia taitoja", Gurgenidze sanoi.

Vuonna 2011 hyökkäykset jatkuivat ja kehittyivät entistä kehittyneemmiksi. Tutkijat havaitsivat, että kyseinen henkilö oli yhteydessä ainakin kahteen muuhun venäläiseen hakkeriin sekä saksalaiseen. Hän oli aktiivinen myös salaustekniikoissa. Nämä vihjeet ja joitain heikkoja turvakäytäntöjä antoivat tutkijoiden pääsevän lähemmäksi häntä.

Sitten asetettiin ansa.

Georgian virkamiehet sallivat käyttäjän tartuttaa tietyn tietokoneensa tarkoituksella. Sellaisessa tietokoneessa he asettivat ZIP-arkiston nimeltä "Georgian-Nato -sopimus". Hän otti syöttiin, mikä aiheutti tutkijoiden oman vakoilusovelluksen asennuksen.

Sieltä hänen webkamerasa oli päällä, mikä johti melko selkeisiin valokuviin hänen kasvoistaan. Viiden tai 10 minuutin kuluttua yhteys katkaistiin, oletettavasti koska käyttäjä tiesi, että häntä oli hakattu. Mutta niissä muutamissa minuuteissa hänen tietokoneensa, kuten Georgian hallitukselle suunnatut, hajautettiin asiakirjoihin.

Yksi Microsoft Word -asiakirja, kirjoitettu venäjäksi, sisälsi käsikirjan ohjeita, mihin kohteisiin tartuttaisi ja miten. Muita todisteita, jotka osoittivat Venäjän osallistumista, sisälsivät verkkosivuston rekisteröinnin, jota käytetään haitallisten sähköpostiviestien lähettämiseen. Se on rekisteröitynyt maan liittovaltion turvallisuuspalveluun, joka tunnettiin aiemmin KGB: ksi.

"Olemme jälleen löytäneet Venäjän turvallisuusviranomaiset", toteaa.

Venäjän ja Georgian välillä, on epätodennäköistä, että valokuva-ihminen - jonka nimi ei paljasteta - olisi koskaan syytetty, jos hän asuu Venäjällä.