Georgia-outs Russland-baserte hacker-med bilder

Cert.gov.geOne av to bilder av en påstått russisk hacker. Bildet ble utgitt av regjeringen i Georgia.

I et av bildene er det en mørkhåret skjegg bruker som går inn i datamaskinens skjerm, kanskje forvirret på hva som skjer. Minutter senere kutter han datamaskinens tilkobling, og innser at han er blitt oppdaget.

Bildene er inneholdt i en rapport som hevder at inntrengningene stammer fra Russland, som lanserte en fem-dagers militærkampanje i august 2008 mot Georgia som ble foran

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

De aktuelle bildene ble tatt etter at etterforskerne med den georgiske regjeringens Computer Emergency Response Team (Cert.gov.ge) klarte å agn datamaskinbrukeren til å laste ned det han trodde var en fil som inneholder sensitiv informasjon. Faktisk inneholdt det sitt eget hemmelige spionprogram. The mughot ble tatt fra sitt eget webkamera.

Bakgrunn

Georgia begynte å undersøke cyberspionering knyttet til denne mannen i mars 2011 etter at en fil på en datamaskin tilhørende en regjeringens offiser ble flagget som "mistenkelig" av et russisk antivirusprogram Programmet heter Dr. Web.

Undersøkelsen avdekket en sofistikert operasjon som plantet ondsinnet programvare på en rekke georgiske nyhetswebsteder, men bare på sider med spesifikke artikler som ville interessere de menneskene som en hacker ville ønske å målrette, sier Giorgi Gurgenidze, en cybersikkerhetsspesialist med Cert.gov.ge, som håndterer datasikkerhetshendelser.

Nyhetshistoriene som ble valgt for å tiltrekke seg ofre, hadde overskrifter som "NATO-delegasjonsbesøk i Georgia" og "USA-georgiske avtaler og møter", ifølge til rapporten, utgitt i fellesskap med Georgias justisdepartement og LEPL Data Exchange Agency, som er en del av departementet.

Detaljer om kampen

CERT-Georgia vil ikke si nøyaktig hvem den fyren st infiserte datamaskin tilhørte. Men det som følger er best beskrevet som en episk elektronisk kamp mellom Georgias gode menn og et høyt kvalifisert hacker- eller sannsynlig team av hackere-baserte i Russland.

Byrået oppdaget raskt at 300 til 400 datamaskiner i viktige offentlige byråer var smittet og overføring av sensitive dokumenter for å slippe servere som er kontrollert av den aktuelle personen. De kompromitterte datamaskiner dannet et botnet med kallenavnet "Georbot."

Den ondsinnede programvaren ble programmert for å søke etter bestemte søkeord - som USA, Russland, NATO og CIA - i Microsoft Word-dokumenter og PDF-filer, og ble til slutt endret for å ta opp lyd og ta skjermbilder. Dokumentene ble slettet innen få minutter fra drop-serverne, etter at brukeren hadde kopiert filene til sin egen PC.

Georgia blokkerte tilkoblinger til drop-serverne som mottok dokumentene. De infiserte datamaskinene ble deretter renset for malware. Men til tross for å vite at operasjonen hans hadde blitt oppdaget, stoppet brukeren ikke. Faktisk trakk han opp sitt spill.

I neste runde sendte han en serie e-post til regjeringens tjenestemenn som syntes å komme fra Georgias president, med adressen "[email protected]." Disse e-postene inneholdt et ondsinnet PDF-vedlegg, som angivelig inneholder juridisk informasjon, med en utnyttelse som leverte skadelig programvare.

Verken utnyttelse eller skadelig programvare ble ikke registrert av sikkerhetsprogramvare.

Hvordan PDF-angrep virket

PDF-angrepene brukte XDP-filformatet, som er en XML-datafil som inneholder en Base64-kodet kopi av en standard PDF-fil. Metoden på en gang unngått alle antivirusprogrammer og inntrengingsdeteksjonssystemer. Det var bare i juni i år at U.K.s Computer Emergency Response Team varslet om det etter at regjeringens byråer var målrettet. Georgia så slike angrep mer enn et år før advarselen.

Det var et av de store sporene at Georgia ikke hadde å gjøre med en gjennomsnittlig hacker, men en som kanskje har vært med i et lag med solid kunnskap om komplekse angrep, kryptografi og intelligens.

"Denne fyren hadde høy klasse ferdigheter," sa Gurgenidze.

I løpet av 2011 fortsatte angrepene og ble mer sofistikert. Undersøkere fant at personen i forbindelse var knyttet til minst to andre russiske hackere, samt en tysk. Han var også aktiv på noen krypteringsfora. Disse leddene, sammen med noen svake sikkerhetspraksis, tillot etterforskere å komme nærmere ham.

Så ble en felle satt.

Georgia-tjenestemennene tillot brukeren å infisere en av deres datamaskiner med vilje. På den datamaskinen plasserte de et ZIP-arkiv med tittelen "Georgian-NATO-avtalen." Han tok agnet, som førte til at etterforskernees eget spionprogram skulle installeres.

Derfra ble hans webkamera slått på, noe som resulterte i ganske klare bilder av ansiktet hans. Men etter fem til ti minutter ble forbindelsen avbrutt, antagelig fordi brukeren visste at han hadde blitt hacket. Men i løpet av få minutter var hans datamaskin som de som han målrettet seg mot i georgisk regjering, tatt i bruk for dokumenter.

Et Microsoft Word-dokument, skrevet på russisk, inneholdt instruksjoner fra mannens handler over hvilke mål å smitte og hvordan. Andre forholdsregler som pekte på russisk involvering omfattet registrering av et nettsted som ble brukt til å sende skadelige e-poster. Det ble registrert til en adresse ved siden av landets føderale sikkerhetstjeneste, tidligere kjent som KGB, sier rapporten.

"Vi har identifisert russiske sikkerhetsbyråer igjen", konkluderer det.

På grunn av de anstrengte relasjonene mellom Russland og Georgia, er det usannsynlig at mannen i bildet - hvis navn ikke ble avslørt - noen gang ville bli påtalt dersom han bor i Russland.