Georgiens outs Rusland-baserede hacker-med billeder

I et hidtil uset træk har Georgiens land, der er irriteret af vedvarende cyberspionageangreb, udgivet to billeder af en påstået russisk baseret hacker, som Georgier hævder udført en vedvarende, månedslang kampagne, der stjal fortrolige oplysninger fra georgiske regeringsministre, parlament, banker og ikke-statslige organisationer.

Cert.gov.geOne af to billeder af en påstået russisk hacker. Billedet blev udgivet af Georgiens regering.

I et af billederne taler en mørkhåret skægbruger ind på computerskærmen, måske forvirret over hvad der sker. Minutter senere skærer han sin computers forbindelse og erkender, at han er blevet opdaget.

Billederne er indeholdt i en rapport, der hævder, at indtrængen stammer fra Rusland, som lancerede en fem-dages militærkampagne i august 2008 mod Georgien, der blev forfulgt af en bølge af cyberattacks.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

De pågældende fotos blev taget efter efterforskere med den georgiske regeringens Computer Emergency Response Team (Cert.gov.ge) lykkedes at agn computerbrugeren til at downloade hvad han troede var en fil med følsomme oplysninger. Faktisk indeholdt den sit eget hemmelige spionprogram. The Mughot blev taget fra sit eget webcam.

Baggrund

Georgien begyndte at undersøge cyberspioneren knyttet til denne mand i marts 2011, efter at en fil på en computer tilhørende en embedsmand blev markeret som "mistænkelig" af et russisk antivirus Programmet hedder Dr. Web.

Undersøgelsen afdækkede en sofistikeret operation, der plantede ondsindet software på adskillige georgiske nyhedswebsteder, men kun på sider med specifikke artikler, der ville interessere de slags mennesker, som en hacker ville ønske at målrette mod, sagde Giorgi Gurgenidze, en cybersikkerhedsspecialist med Cert.gov.ge, som håndterer datasikkerhedshændelser.

Nyhedshistorierne udvalgt til at tiltrække ofre havde overskrifter som "NATO-delegationsbesøg i Georgien" og "USA-georgiske aftaler og møder" i henhold til til rapporten, offentliggjort med Georgiens justitsministerium og LEPL Data Exchange Agency, som er en del af ministeriet.

Detaljer om kampen

CERT-Georgia vil ikke sige præcis, hvem den fyr st inficerede computer tilhørte. Men hvad der følges bedst beskrives som en episk elektronisk kamp mellem Georgiens gode fyre og et højt kvalificeret hacker- eller sandsynligt team af hackere-baserede i Rusland.

Agenturet opdagede hurtigt, at 300 til 400 computere i nøgleorganerne var smittet og overførsel af følsomme dokumenter til at droppe servere kontrolleret af den pågældende person. De kompromitterede computere dannede et botnet med navnet "Georbot".

Den ondsindede software blev programmeret til at søge efter bestemte søgeord - som USA, Rusland, NATO og CIA - i Microsoft Word-dokumenter og PDF-filer og blev til sidst ændret til at optage lyd og tage skærmbilleder. Dokumenterne blev slettet inden for et par minutter fra drop-serverne, efter at brugeren havde kopieret filerne til sin egen pc.

Georgia blokerede forbindelser til drop-serverne, der modtog dokumenterne. De inficerede computere blev derefter renset for malware. Men på trods af at han vidste, at hans operation var blevet opdaget, stoppede brugeren ikke. Faktisk steg han sit spil.

I næste runde sendte han en række emails til embedsmænd, der syntes at komme fra Georgiens præsident, med adressen "[email protected]". Disse e-mails indeholdt en ondsindet PDF-vedhæftning, der angiveligt indeholdt juridisk information, med en udbyder, der leverede malware.

Hverken udnyttelsen eller malware blev registreret af sikkerhedssoftware.

Hvordan PDF-angreb arbejdede

PDF-angrebene anvendte XDP-filformatet, som er en XML-datafil, der indeholder en Base64-kodet kopi af en standard PDF-fil. Metoden afvist på samme tid alle antivirusprogrammer og indbrudsdetekteringssystemer. Det var først i juni i år, at U.K.'s Computer Emergency Response Team advarede om det, efter at dets regeringsorganer var målrettet. Georgien så sådanne angreb mere end et år forud for advarslen.

Det var et af de vigtigste spor, at Georgien ikke havde at gøre med en gennemsnitlig hacker, men en som måske har været med i et hold med solid viden om komplekse angreb, kryptografi og intelligens.

"Denne fyr havde førsteklasses færdigheder," sagde Gurgenidze.

I løbet af 2011 fortsatte angrebene og blev mere sofistikerede. Undersøgere fandt, at den pågældende var forbundet med mindst to andre russiske hackere såvel som en tysk. Han var også aktiv på nogle krypteringsfora. Disse spor, sammen med nogle svage sikkerhedspraksis, tillod efterforskere at komme tættere på ham.

Så blev en fælde sat.

Georgiens embedsmænd tillod brugeren at inficere en af ​​deres computere med vilje. På den computer lagde de et ZIP-arkiv med titlen "Georgian-NATO-aftale." Han tog agn, hvilket gjorde at efterforskernes eget spionprogram skulle installeres.

Derefter blev hans webcam tændt, hvilket resulterede i ret klare billeder af hans ansigt. Men efter fem til 10 minutter blev forbindelsen afbrudt, formodentlig fordi brugeren vidste, at han var blevet hacket. Men i løbet af få minutter var hans computer som dem, han var målrettet mod den georgiske regering, brugt til dokumenter.

Et Microsoft Word-dokument, skrevet på russisk, indeholdt instruktioner fra mandens handler over hvilke mål at inficere og hvordan. Andre omstændigheder, der pegede på russisk inddragelse, omfattede registreringen af ​​et websted, der blev brugt til at sende ondsindede e-mails. Det blev registreret på en adresse ved siden af ​​landets føderale sikkerhedstjeneste, tidligere kendt som KGB, siger rapporten.

"Vi har identificeret russiske sikkerhedsagenturer endnu en gang", konkluderer det.

På grund af de anstrengte relationer mellem Rusland og Georgien er det usandsynligt, at manden på billedet - hvis navn ikke blev afsløret - nogensinde ville blive retsforfulgt, hvis han bor i Rusland.