גאורגיה יוצאת עם האקרים עם רוסיה

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות מהמחשב של Windows]

התמונות שצולמו נלקחו לאחר חוקרים עם צוות של המחשב הגיאורגני חירום תגובת צוות (Cert.gov.ge) הצליח הפיתיון המשתמש במחשב לתוך הורדת מה שהוא חשב היה קובץ המכיל מידע רגיש. למעשה, היא הכילה תוכנית ריגול סודית משלה.

רקע

גאורגיה החלה לחקור את ריגול הקיברנטי המקושר לאיש זה במרץ 2011 לאחר שקובץ במחשב של פקיד ממשלתי סומן כ"חשוד "על ידי וירוס אנטי וירוס רוסי תוכנית בשם ד"ר ווב.

החקירה חשפה מבצע מתוחכם שנטע תוכנות זדוניות באתרי חדשות גיאורגיים רבים, אך רק בדפים עם מאמרים ספציפיים שיעניינו את סוגי האנשים שהאקר ירצה למקד אליהם, אמר ג'ורג'י גורגנידזה, מומחה אבטחה סייבר עם Cert.gov.ge, אשר מטפל באירועי אבטחת המחשב.

לסיפורים החדשותיים שנבחרו כדי למשוך קרבנות היו כותרות כגון "ביקור המשלחת של נאט"ו בגאורגיה" ו"הסכמים ופגישות של ארה"ב-גיאורגיה ", לפי לדו"ח, שפורסם במשותף עם משרד המשפטים של ג'ורג'יה ועם סוכנות ה- LEPL Exchange Exchange, שהינה חלק מהמשרד.

פרטי הקרב

CERT-Georgia לא יגיד בדיוק מי זה אשוח מחשב נגוע st שייך. אבל מה שבא אחר כך מתואר בצורה הטובה ביותר כמאבק אלקטרוני אפייני בין הטובים של ג'ורג'יה לבין האקר המיומן ביותר - או צוות סביר של האקרים מבוססי ברוסיה.

הסוכנות גילתה במהירות כי 300 עד 400 מחשבים הממוקמים בסוכנויות ממשלתיות חשובות נדבקו והעברת מסמכים רגישים להפלת שרתים הנשלט על ידי האדם המדובר. המחשבים הנגועים יצרו את ה- botnet המכונה "ז'ורבוט".

התוכנה הזדונית תוכננה כדי לחפש מילות מפתח ספציפיות - כמו ארה"ב, רוסיה, נאט"ו ו- CIA - במסמכי Microsoft Word ובקובצי PDF, והשתנתה בסופו של דבר כדי להקליט אודיו ו לקחת צילומי מסך. המסמכים נמחקו תוך מספר דקות משרתי השחרור, לאחר שהמשתמש העתיק את הקבצים למחשב האישי שלו.

גאורגיה חסמה חיבורים לשרתים המקבלים את המסמכים. המחשבים נגועים טיהר מכן של תוכנות זדוניות. אבל למרות הידיעה המבצע שלו התגלה, המשתמש לא עצר. למעשה, הוא הגביר את המשחק שלו. בסבב הבא הוא שלח סדרת הודעות דוא"ל לפקידי ממשלה שנראו כאילו הגיעו מנשיא ג'ורג'יה, עם הכתובת "[email protected]". הודעות דוא"ל אלה הכילו קובץ מצורף זדוני של PDF, המכיל לכאורה מידע משפטי, עם ניצול שמסר תוכנות זדוניות.

לא ניצל או את התוכנה הזדונית התגלו על ידי תוכנת אבטחה.

כיצד התקפות PDF עובד

התקפות PDF השתמשו בתבנית קובץ XDP, שהיא קובץ נתוני XML המכיל עותק מקודד Base64 של קובץ PDF רגיל. השיטה בכל פעם התחמקה מכל מערכות האנטי וירוס ומערכות גילוי פריצה. זה היה רק ​​בחודש יוני השנה, כי המחשב של חירום המחשב תגובה צוות הזהיר אותו לאחר סוכנויות ממשלתיות שלה היו ממוקדות. ג'ורג'יה ראתה תקיפות כאלה יותר משנה לפני האזהרה. זה היה אחד הרמזים העיקריים לכך שגיאורגיה לא התמודדה עם האקר ממוצע, אבל אולי אחד מהצוותים עם ידע מוצק על פיגועים מורכבים, קריפטוגרפיה ואינטליגנציה. "הבחור הזה היה בעל כישורים ברמה גבוהה", אמר גורגנידזה.

במהלך 2011, ההתקפות נמשכו ונעשו מתוחכמות יותר. חוקרים מצאו כי האדם המדובר היה קשור לפחות לשני האקרים רוסים אחרים, כמו גם לגרמנית. הוא היה גם פעיל בכמה פורומים קריפטוגרפיה. רמזים אלה, יחד עם כמה שיטות אבטחה חלשות, אפשרה לחוקרים להתקרב אליו.

אז, מלכודת נקבע.

פקידי גאורגיה מותר למשתמש להדביק את אחד המחשבים שלהם בכוונה. באותו מחשב, הם הניחו ארכיון ZIP תחת הכותרת "הסכם גאורגיה-נאטו". הוא לקח את הפיתיון, מה שגרם לתוכנית הריגול של החוקרים להתקינם. משם, מצלמת האינטרנט שלו הופעלה, מה שהוביל לתצלומים ברורים למדי של פניו. אבל אחרי חמש עד עשר דקות, הקשר היה מנותק, כנראה משום שהמשתמש ידע שהוא נפרץ. אבל באותן דקות ספורות, המחשב שלו - כמו אלה שביקש לממשלה הגיאורגית - נכרת עבור מסמכים.

מסמך אחד של Microsoft Word, שנכתב ברוסית, הכיל הוראות מהמטפל של האיש שעליו מטרות להדביק ואיך. עדויות נסיבתיות אחרות הצביעו על מעורבות רוסית כללו רישום של אתר אינטרנט ששימש לשליחת הודעות דוא"ל זדוניות. היא נרשמה לכתובת שליד שירות הביטחון הפדרלי של המדינה, שנקראה בעבר הק.ג.ב., כך נכתב בדו"ח. "זיהינו שוב את גורמי הביטחון הרוסיים", הוא מסכם.

בגלל היחסים המתוחים בין רוסיה לגאורגיה, אין זה סביר שהאיש בתצלום - ששמו לא נחשף - יועמד לדין אם יגור ברוסיה.