Georgia mengetepikan penggodam berasaskan Rusia dengan gambar

Dalam satu langkah yang belum pernah terjadi sebelumnya, negara Georgia-tergerai oleh serangan cyber-pengintipan berterusan-telah menerbitkan dua gambar seorang hacker berasaskan Rusia yang, yang

Cert.gov.geOrang dua imej seorang penggodam Rusia yang didakwa. Foto itu dikeluarkan oleh kerajaan Georgia.

Dalam salah satu foto, seorang pengguna berjanggut yang berjanggut ke skrin komputernya, mungkin hairan apa yang berlaku. Beberapa minit kemudian, dia memotong sambungan komputernya, menyedari dia telah ditemui.

Foto-foto itu terkandung dalam laporan yang mendakwa pencerobohan berasal dari Rusia, yang melancarkan kempen ketenteraan lima hari pada Ogos 2008 melawan Georgia yang didahului oleh [

] [Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows Anda]

Foto yang dipersoalkan diambil selepas penyiasat dengan Pasukan Respons Kecemasan Komputer kerajaan Georgia (Cert.gov.ge) berjaya menangkap umpan pengguna komputer memuat turun apa yang difikirkannya adalah fail yang mengandungi maklumat sensitif. Malah, ia mengandungi program pengintipan rahsia sendiri. The mugshot diambil dari webcamnya sendiri.

Latar Belakang

Georgia mula menyiasat pengintipan siber berkaitan dengan lelaki ini pada bulan Mac 2011 selepas fail pada komputer milik seorang pegawai kerajaan telah ditandakan sebagai "mencurigakan" oleh antivirus Rusia program yang dipanggil Dr Web.

Siasatan mendapati operasi canggih yang menanam perisian berniat jahat di banyak laman web berita Georgia, tetapi hanya pada muka surat dengan artikel tertentu yang akan menarik minat orang yang ingin disasarkan oleh penggodam, kata Giorgi Gurgenidze, pakar keselamatan siber dengan Cert.gov.ge, yang menangani insiden keselamatan komputer.

Kisah berita yang dipilih untuk menarik mangsa menjadi tajuk utama seperti lawatan delegasi NATO di Georgia dan perjanjian dan mesyuarat AS-Georgia. kepada laporan itu, bersama-sama diterbitkan dengan Kementerian Keadilan Georgia dan Agensi Pertukaran Data LEPL, yang merupakan bagian dari kementerian.

Butiran pertempuran

CERT-Georgia tidak akan mengatakan dengan tepat siapa komputer yang dijangkiti st. Tetapi apa yang diikuti adalah yang terbaik digambarkan sebagai pertempuran elektronik epik antara orang baik Georgia dan seorang penggodam yang sangat mahir-atau mungkin pasukan peretas yang berpusat di Rusia.

Agensi itu dengan cepat mendapati 300 hingga 400 komputer yang terletak di agensi kerajaan utama telah dijangkiti dan menghantar dokumen sensitif ke pelayan drop yang dikawal oleh orang yang berkenaan. Komputer yang dikompromi membentuk botnet yang dijuluki "Georbot."

Perisian yang berniat jahat telah diprogram untuk mencari kata kunci tertentu seperti dokumen dan PDF Microsoft, NATO dan CIA, dan akhirnya diubahsuai untuk merakam audio dan mengambil tangkapan skrin. Dokumen telah dipadamkan dalam beberapa minit dari pelayan drop, selepas pengguna telah menyalin fail ke PC sendiri.

Georgia menyekat sambungan ke pelayan drop yang menerima dokumen. Komputer yang dijangkiti kemudian dibersihkan dari perisian hasad itu. Tetapi walaupun mengetahui operasinya telah ditemui, pengguna tidak berhenti.

Pada pusingan seterusnya, beliau menghantar beberapa e-mel kepada pegawai kerajaan yang muncul dari presiden Georgia, dengan alamat "[email protected]". E-mel tersebut mengandungi lampiran PDF yang berniat jahat, yang dikatakan mengandungi maklumat undang-undang, dengan eksploit yang menyebarkan malware.

Pengeksploitasian atau malware tidak dikesan oleh perisian keselamatan

Bagaimana serangan PDF berfungsi

Serangan PDF menggunakan format fail XDP, yang merupakan fail data XML yang mengandungi salinan yang dikodkan Base64 dari fail PDF standard. Kaedah pada satu masa mengelakkan semua perisian antivirus dan sistem pengesanan pencerobohan. Ia hanya pada bulan Jun tahun ini bahawa Pasukan Respons Kecemasan Komputer U.K. memberi amaran tentangnya selepas agensi-agensi kerajaannya disasarkan. Georgia melihat serangan sedemikian lebih daripada setahun sebelum amaran.

Itu adalah salah satu petunjuk utama bahawa Georgia tidak berurusan dengan penggodam biasa, tetapi salah satu yang mungkin telah menjadi sebahagian daripada pasukan dengan pengetahuan pepejal serangan rumit, kriptografi, dan kecerdasan.

"Lelaki ini mempunyai kemahiran bertaraf tinggi," kata Gurgenidze.

Sepanjang tahun 2011, serangan terus dan menjadi lebih canggih. Penyiasat mendapati orang yang berkenaan dihubungkan dengan sekurang-kurangnya dua penggodam Rusia yang lain dan juga orang Jerman. Beliau juga aktif dalam beberapa forum kriptografi. Petunjuk itu, bersama-sama dengan beberapa amalan keselamatan yang lemah, membenarkan penyelidik mendekatinya.

Kemudian, perangkap telah ditetapkan.

Pejabat Georgia membenarkan pengguna untuk menjangkiti salah satu komputer mereka dengan tujuan. Pada komputer itu, mereka meletakkan arkib ZIP bertajuk "Perjanjian Georgian-Nato." Dia mengambil umpan, yang menyebabkan program pengintipan sendiri penyiasat dipasang.

Dari sana, webcamnya telah dihidupkan, yang menghasilkan gambar-gambar wajahnya yang jelas. Tetapi selepas lima hingga 10 minit, sambungan itu terputus, mungkin kerana pengguna tahu dia telah digodam. Tetapi dalam beberapa minit, komputernya seperti yang dia targetkan dalam kerajaan Georgia-telah ditambang untuk dokumen.

Satu dokumen Microsoft Word, yang ditulis dalam bahasa Rusia, mengandungi arahan dari pengendali lelaki yang mensasarkan untuk menjangkiti dan bagaimana. Bukti keadaan lain yang menunjukkan penglibatan Rusia termasuk pendaftaran laman web yang digunakan untuk menghantar e-mel yang berniat jahat.

"Kami telah mengenal pasti agensi keselamatan Rusia, sekali lagi," katanya.

Kerana hubungan yang tegang antara Rusia dan Georgia, tidak mungkin lelaki dalam foto itu - yang namanya tidak dinyatakan - akan pernah didakwa jika dia tinggal di Rusia.