Georgia out ng Russia-based hacker-may mga larawan

Sa isang walang uliran na paglipat, ang bansa ng Georgia-inis sa pamamagitan ng paulit-ulit na pag-atake sa cyber-spying-ay nag-publish ng dalawang larawan ng isang diumano'y nakabase sa Russia na hacker na, Ang mga taga-Georgia ay nag-aangkin ng isang tuluy-tuloy na kampanya ng maraming buwan na nagnanakaw ng kumpidensyal na impormasyon mula sa ministri ng pamahalaan ng Georgia, parlyamento, mga bangko, at mga non-governmental na organisasyon.

Cert.gov.ge Isa sa dalawang larawan ng isang diumano'y Russian hacker. Ang larawan ay inilabas ng gobyerno ng Georgia.

Sa isa sa mga larawan, isang maitim na buhok, may balbas na mga kapantay ng gumagamit sa screen ng kanyang computer, marahil ay nalilito sa kung ano ang nangyayari. Sa ilang minuto, pinutol niya ang koneksyon ng kanyang computer, na napagtatanto na siya ay natuklasan.

Ang mga larawan ay nasa isang ulat na nagpapahiwatig ng mga pagpasok na nagmula sa Russia, na naglunsad ng limang araw na kampanyang militar noong Agosto 2008 laban sa Georgia na sinundan ng isang alon ng cyberattacks.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang mga litrato na pinag-uusapan ay kinuha pagkatapos ng mga investigator sa Computer Emergency Response Team ng gobyerno ng Georgia (Cert.gov.ge) ang computer user sa pag-download ng kung ano ang inisip niya ay isang file na naglalaman ng sensitibong impormasyon. Sa katunayan, naglalaman ito ng sarili nitong lihim na programa sa pagpatay. Ang mugshot ay kinuha mula sa kanyang sariling webcam.

Background

Georgia ay nagsimula sinisiyasat ang cyber spying na naka-link sa taong ito noong Marso 2011 matapos ang isang file sa isang computer na kabilang sa isang opisyal ng pamahalaan ay na-flag bilang "kahina-hinalang" ng isang antivirus ng Russian ang program na tinatawag na Dr Web.

Sinisiyasat ng pagsisiyasat ang isang sopistikadong operasyon na nagtanim ng malisyosong software sa maraming website ng balita sa Georgia, ngunit lamang sa mga pahina na may mga tiyak na artikulo na interesado sa mga uri ng tao na gusto ng isang hacker na ma-target, sinabi Giorgi Gurgenidze, isang cyber security specialist na may Cert.gov.ge, na humahawak sa mga insidente sa seguridad sa computer.

Ang mga balita na pinili upang maakit ang mga biktima ay may mga headline tulad ng "NATO delegation visit in Georgia" at "US-Georgian agreements and meetings," ayon sa ulat, na sama-samang inilathala sa Ministri ng Katarungan ng Georgia at ng LEPL Data Exchange Agency, na bahagi ng ministeryo.

Mga Detalye ng labanan

CERT-Georgia ay hindi sasabihing eksakto kung sino st nahawaang computer belonged sa. Ngunit kung ano ang sinundan ay pinakamahusay na inilarawan bilang isang mahabang tula electronic labanan sa pagitan ng mga mahusay na guys Georgia at isang highly skilled hacker o malamang na koponan ng mga hacker-based sa Russia.

Ang ahensiya mabilis natuklasan na 300 sa 400 mga computer na matatagpuan sa mga pangunahing ahensya ng gobyerno ay impeksyon at pagpapadala ng sensitibong mga dokumento sa mga drop server na kinokontrol ng taong pinag-uusapan. Ang nakompromisong mga computer ay bumubuo ng isang botnet na nicknamed "Georbot."

Ang nakakahamak na software ay na-program upang maghanap ng mga partikular na keyword-tulad ng USA, Russia, NATO at CIA-sa mga dokumento at PDF ng Microsoft Word, at sa kalaunan ay binago upang mag-record ng audio at kumuha ng mga screenshot. Ang mga dokumento ay tinanggal sa loob ng ilang minuto mula sa mga drop server, matapos na kopyahin ng user ang mga file sa kanyang sariling PC.

Georgia hinarang ang mga koneksyon sa mga drop server na tumatanggap ng mga dokumento. Pagkatapos ay linisin ang mga nahawaang computer ng malware. Ngunit sa kabila ng pag-alam sa kanyang operasyon ay natuklasan, ang gumagamit ay hindi tumigil. Sa katunayan, pinalawak niya ang kanyang laro.

Sa susunod na round, nagpadala siya ng isang serye ng mga email sa mga opisyal ng gobyerno na lumabas mula sa presidente ng Georgia, na may address na "[email protected]." Ang mga email ay naglalaman ng nakahahamak na attachment ng PDF, na purportedly naglalaman ng legal na impormasyon, na may isang pagsasamantalang naghatid ng malware.

Hindi pinagana ang pagsasamantala o ang malware ng software ng seguridad.

Ang pag-atake ng PDF ay gumagamit ng format ng XDP file, na isang file ng XML na naglalaman ng isang naka-encode na Base64 ng isang standard na PDF file. Ang pamamaraan sa isang pagkakataon ay umalis sa lahat ng mga antivirus software at mga sistema ng pagtuklas ng panghihimasok. Hunyo lamang ng taong ito na ang U.K.'s Computer Emergency Response Team ay binigyan ng babala pagkatapos nito ang mga ahensya ng gobyerno ay na-target. Nakita ng Georgia ang gayong mga pag-atake higit sa isang taon bago ang babala.

Iyon ay isa sa mga pangunahing pahiwatig na hindi nakikitungo sa isang average hacker sa Georgia, ngunit isa na maaaring bahagi ng isang pangkat na may matibay na kaalaman sa mga kumplikadong pag-atake, cryptography, at katalinuhan.

"Ang taong ito ay may mataas na uri ng kakayahan," sabi ni Gurgenidze.

Sa buong 2011, ang mga pag-atake ay nagpatuloy at naging mas sopistikadong. Natagpuan ng mga imbestigador na ang taong pinag-uusapan ay nauugnay sa hindi bababa sa dalawang iba pang mga Ruso hacker pati na rin ng isang Aleman. Aktibo rin siya sa ilang mga forum sa cryptography. Ang mga pahiwatig na iyon, kasama ang ilang mahina na mga kasanayan sa seguridad, ay nagpapahintulot sa mga investigator na lumapit sa kanya.

Pagkatapos, isang bitag ang naitakda.

Pinahintulutan ng mga tagapamahala ng Georgia ang gumagamit na makahawa sa isa sa kanilang mga computer sa layunin. Sa computer na iyon, inilagay nila ang isang ZIP archive na pinamagatang "Kasunduan sa Georgian-Nato." Kinuha niya ang pain, na naging sanhi ng pag-install ng mga investigator ng sariling spying program.

Mula doon, ang kanyang webcam ay naka-on, na nagreresulta sa medyo malinaw na mga larawan ng kanyang mukha. Ngunit pagkatapos ng limang hanggang 10 minuto, ang koneksyon ay nahiwalay, siguro dahil alam ng gumagamit na siya ay na-hack. Ngunit sa ilang mga minuto, ang kanyang computer-tulad ng mga na-target niya sa pamahalaan ng Georgia-ay giniling para sa mga dokumento.

Ang isang dokumentong Microsoft Word, na nakasulat sa Russian, ay naglalaman ng mga tagubilin mula sa handler ng tao kung saan pinupuntirya ang impeksyon at kung paano. Ang iba pang mga katibayan ng institusyon na tumuturo sa paglahok sa Russia ay kasama ang pagpaparehistro ng isang website na ginamit upang magpadala ng mga nakakahamak na email. Ito ay nakarehistro sa isang address sa tabi ng Federal Security Service ng bansa, dating kilala bilang KGB, sinabi ng ulat.

"Nakilala na namin ang mga ahensya ng seguridad ng Russia, muli," natapos na.

Dahil sa mga sapilitang relasyon sa pagitan ng Russia at Georgia, malamang na hindi ang tao sa larawan-na ang pangalan ay hindi naipahayag-ay kailanman mausig kung siya ay nabubuhay sa Russia.