Gürcistan, Rusya kökenli hacker-with fotoğrafları

Gürcistan ülkesi, benzeri görülmemiş bir hareketle, sürekli siber casusluk saldırıları tarafından tahriş olmuş, Rusya kökenli bir saldırganın iki fotoğrafını yayınladı. Gürcüler, Gürcistan hükümet bakanlıkları, parlamento, bankalar ve sivil toplum örgütlerinden gizli bilgileri çalan sürekli, aylarca süren bir kampanya başlattılar.

Cert.gov.ge Sözde Rus hacker'ının iki resmi. Fotoğraf Gürcistan hükümeti tarafından serbest bırakıldı.

Fotoğraflardan birinde, koyu saçlı, sakallı bir kullanıcı bilgisayar ekranına bakar, belki de neler olduğuna şaşırır. Dakikalar sonra, bilgisayarının bağlantısını keşfettiğini fark etti, keşfettiğini fark etti.

Fotoğraflar, Ağustos 2008’de Gürcistan’a beş gün süren bir askeri kampanya başlatmış olan Rusya’dan kaynaklanan saldırıları içeren bir raporda yer alıyor. Bir siberattacks dalgası.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Söz konusu fotoğraflar, Gürcistan hükümetinin Bilgisayar Acil Müdahale Ekibi (Cert.gov.ge) ile araştırmacıların yemini almasının ardından alındı. bilgisayar kullanıcısı, ne düşündüğünü indirerek hassas bilgiler içeren bir dosyaydı. Aslında, kendi gizli casusluk programını içeriyordu. Mugshot kendi kamerasıyla çekildi.

Arka plan

Gürcistan Mart 2011'de bir hükümet yetkilisine ait bir bilgisayardaki bir dosyanın bir Rus antivirüs tarafından "şüpheli" olarak işaretlendikten sonra bu adama bağlı siber casusluk araştırmasını başlattı. Dr. Web denilen program.

Soruşturma, birçok Gürcü haber web sitesinde kötü amaçlı yazılım ekleyen sofistike bir operasyonu ortaya çıkardı, ancak sadece bir hackerın hedeflemek istediği insanlara ilgi duyan belirli makaleleri olan sayfalarda, Giorgi Gurgenidze Cert.gov.ge ile bilgisayar güvenliği olaylarını ele alan bir siber güvenlik uzmanı.

Mağdurları cezbetmek için seçilen haberlerin, "Gürcistan 'daki NATO delegasyonu ziyareti" ve "ABD-Gürcistan anlaşmaları ve toplantıları" gibi başlıklar vardı. Gürcistan Adalet Bakanlığı ve bakanlığın bir parçası olan LEPL Veri Değişim Ajansı ile ortak olarak yayınlanan rapora.

Savaşın ayrıntıları

CERT-Gürcistan, bu köprünün tam olarak kim olduğunu söylemeyecek virüslü bilgisayar aitti. Ancak, en iyi şey, Gürcistan'ın iyi adamları ve Rusya'da bulunan korsanların çok yetenekli bir hacker veya olası bilgisayar korsanı arasındaki epik bir elektronik savaş olarak tanımlanmaktadır.

Ajans, kilit hükümet kurumlarında bulunan 300 ila 400 bilgisayarın bulaştığını hızlı bir şekilde keşfetmiştir. ve söz konusu kişi tarafından kontrol edilen sunucuları düşürmek için hassas dokümanların gönderilmesi. Güvenliği ihlal edilen bilgisayarlar, "Georbot" lakaplı bir botnet kurdu.

Kötü amaçlı yazılım, Microsoft Word belgeleri ve PDF'lerde, ABD, Rusya, NATO ve CIA gibi belirli anahtar kelimeleri aramaya programlandı ve sonunda ses kaydetmek için değiştirildi ve ekran görüntüsü al. Belgeler, dosyaları kendi bilgisayarına kopyaladıktan sonra, açılan sunuculardan birkaç dakika içinde silinmiştir.

Gürcistan, belgeleri alan alt sunuculara bağlantıları engelledi. Virüs bulaşan bilgisayarlar daha sonra kötü amaçlı yazılımdan arındırıldı. Ancak operasyonunun keşfedildiğini bilmesine rağmen, kullanıcı durmadı. Aslında, oyununu hızlandırdı.

Bir sonraki turda, "[email protected]" adresiyle Gürcistan cumhurbaşkanından gelen hükümet yetkililerine bir dizi e-posta gönderdi. Bu e-postalar, kötü amaçlı bir PDF eklentisi içeriyordu ve yasal bilgileri içeren bir kötüye kullanımla birlikte kötü amaçlı yazılımlar içeriyordu.

Güvenlik yazılımı tarafından ne kötüye ne de kötü amaçlı yazılım tespit edildi.

PDF saldırıları

nasıl çalıştı?PDF saldırıları, standart bir PDF dosyasının bir Base64 kodlu kopyasını içeren bir XML veri dosyası olan XDP dosya biçimini kullandı. Bir kerede yöntem tüm antivirüs yazılımlarını ve saldırı tespit sistemlerini kaçırdı. Bu yılın Haziran ayında, U.K.'nın Bilgisayar Acil Durum Müdahale Ekibi, hükümet kurumları hedeflendikten sonra bunu uyardı. Gürcistan bu saldırıları bir yıldan fazla bir süre önce uyarıda bulundu.

Gürcistan'ın ortalama bir bilgisayar korsanıyla uğraşmadığı, ancak karmaşık saldırılara karşı sağlam bir bilgi birikimine sahip bir ekibin parçası olabileceği önemli ipuçları arasındaydı., kriptografi ve zeka.

"Bu adamın üstün yetenekleri vardı," dedi Gurgenidze.

2011 yılı boyunca, saldırılar devam etti ve daha sofistike hale geldi. Müfettişler, söz konusu kişinin en az iki Rus hacker ve bir Alman ile bağlantılı olduğunu buldu. Bazı kriptografi forumlarında da aktifti. Bu ipuçları, bazı zayıf güvenlik uygulamalarıyla birlikte, araştırmacıların ona daha yakın olmalarını sağladı.

Sonra, bir tuzak kuruldu.

Gürcistanlı yetkililer, kullanıcının bilgisayarlarından birini amaca uygun şekilde enfekte etmesine izin verdi. Bu bilgisayarda, "Gürcü-Nato Anlaşması" başlıklı bir ZIP arşivi yerleştirdiler. Araştırmacının kendi casusluk programının kurulmasına neden olan yemini aldı.

Oradan, kamerası açıktı ve bu da yüzünün oldukça net fotoğraflarına neden oldu. Ancak, beş ila 10 dakika sonra, bağlantı kesildi, muhtemelen kullanıcı saldırıya uğradığını biliyordu. Ama o birkaç dakika içinde bilgisayarları, Gürcistan hükümetinde hedef aldığı gibi belgelere dökülmüştür.

Rusça yazılmış bir Microsoft Word belgesi, insanın işleyicisinden hangi etkilere ve nasıl bulaşacaklarına dair talimatlar içeriyordu. Rus katılımına işaret eden diğer kanıtlar arasında, kötü amaçlı e-posta göndermek için kullanılan bir web sitesinin kaydı yer almaktadır. Raporda, eskiden KGB olarak bilinen ülkenin Federal Güvenlik Servisi'nin yanındaki bir adrese kayıtlı olduğu belirtiliyor.

"Rus güvenlik kurumlarını bir kez daha belirledik" diye bitiriyor.

Zorlu ilişkiler nedeniyle Rusya ile Gürcistan arasında, isminin ifşa edilmediği adamdaki adamın Rusya'da yaşarsa kovuşturmayacağı ihtimal dışıdır.