Gruzia xuất hiện với tin tặc có hình ảnh

Trong một động thái chưa từng có, nước Georgia bị kích thích bởi các cuộc tấn công gián điệp trên mạng, đã xuất bản hai bức ảnh của một hacker bị cáo buộc ở Nga, Gruzia tuyên bố đã tiến hành một chiến dịch kéo dài hàng tháng để lấy cắp thông tin bí mật từ các bộ chính phủ, quốc hội, ngân hàng và các tổ chức phi chính phủ Gruzia.

Cert.gov.geOne của hai hình ảnh của một hacker Nga bị cáo buộc. Bức ảnh được chính phủ Georgia phát hành.

Trong một trong những bức ảnh, một người đàn ông tóc đen, râu có thể nhìn vào màn hình máy tính của anh ta, có lẽ đã lúng túng trước những gì đang xảy ra. Vài phút sau, anh ta cắt đứt kết nối máy tính của mình, nhận ra anh ta đã bị phát hiện.

Các bức ảnh được đưa vào báo cáo cáo buộc sự xâm nhập có nguồn gốc từ Nga, đưa ra một chiến dịch quân sự kéo dài 5 ngày vào tháng 8 năm 2008 chống lại Gruzia. một làn sóng các cuộc tấn công mạng.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows]

Các bức ảnh được đề cập đã được chụp sau khi các điều tra viên của Đội phản ứng khẩn cấp máy tính của Gruzia (Cert.gov.ge) quản lý người dùng máy tính tải xuống những gì anh ta nghĩ là một tệp chứa thông tin nhạy cảm. Trong thực tế, nó chứa chương trình gián điệp bí mật của riêng mình. Mugshot được lấy từ webcam của riêng mình.

Bối cảnh

Georgia bắt đầu điều tra vụ gián điệp trên mạng liên quan đến người đàn ông này vào tháng 3 năm 2011 sau khi một tập tin trên máy tính thuộc một quan chức chính phủ bị một người Nga chống lại "đáng ngờ" Chương trình được gọi là Dr. Web.

Cuộc điều tra đã phát hiện ra một hoạt động tinh vi trồng phần mềm độc hại trên nhiều trang web tin tức của Gruzia, nhưng chỉ trên các trang có bài viết cụ thể sẽ thu hút các loại người mà hacker muốn nhắm mục tiêu.

Những câu chuyện tin tức được chọn để thu hút nạn nhân có các tiêu đề như "chuyến viếng thăm của NATO tại Georgia" và "các thỏa thuận và cuộc họp của Mỹ-Gruzia", ​​theo để báo cáo, cùng nhau xuất bản với Bộ Tư pháp Georgia và Cơ quan Trao đổi Dữ liệu LEPL, là một phần của Bộ.

Chi tiết về trận chiến

CERT-Georgia sẽ không nói chính xác ai là người linh sam st máy tính bị nhiễm thuộc về. Nhưng những gì tiếp theo được mô tả tốt nhất là một trận chiến điện tử hoành tráng giữa những kẻ tốt của Gruzia và một nhóm hacker có khả năng cao hoặc có khả năng có tin tặc ở Nga.

Cơ quan này nhanh chóng phát hiện ra rằng 300 đến 400 máy tính nằm trong các cơ quan chính phủ bị nhiễm và truyền các tài liệu nhạy cảm để thả các máy chủ được kiểm soát bởi người được đề cập. Các phần mềm độc hại được lập trình để tìm kiếm các từ khóa cụ thể - như USA, Nga, NATO và CIA trong các tài liệu Microsoft Word và PDF, và cuối cùng đã được sửa đổi để ghi lại âm thanh và chụp ảnh màn hình. Các tài liệu đã bị xóa trong vòng vài phút từ các máy chủ thả xuống, sau khi người dùng đã sao chép các tệp vào máy tính của riêng mình.

Georgia chặn các kết nối đến máy chủ thả nhận tài liệu. Các máy tính bị nhiễm sau đó đã được làm sạch phần mềm độc hại. Nhưng mặc dù biết hoạt động của mình đã được phát hiện, người dùng đã không dừng lại. Trong thực tế, anh ấy đã bước lên trò chơi của mình.

Ở vòng tiếp theo, anh gửi một loạt email tới các quan chức chính phủ xuất hiện từ tổng thống Georgia, với địa chỉ "[email protected]". Những email đó chứa tệp đính kèm PDF độc hại, có chứa thông tin pháp lý, với một lỗ hổng phân phối phần mềm độc hại.

Phần mềm bảo mật không phát hiện thấy phần mềm độc hại cũng như phần mềm độc hại.

Các cuộc tấn công PDF sử dụng định dạng tệp XDP, là một tệp dữ liệu XML có chứa bản sao được mã hóa Base64 của tệp PDF chuẩn. Phương pháp này cùng một lúc né tránh tất cả các phần mềm chống virus và các hệ thống phát hiện xâm nhập. Chỉ trong tháng 6 năm nay Đội phản ứng khẩn cấp máy tính của Vương quốc Anh đã cảnh báo về nó sau khi các cơ quan chính phủ của nó được nhắm mục tiêu. Georgia đã chứng kiến ​​những cuộc tấn công đó hơn một năm trước cảnh báo.

Đó là một trong những manh mối chính mà Gruzia không phải đối phó với một hacker trung bình, nhưng một trong những người có thể là một phần của một đội ngũ kiến ​​thức vững chắc về các cuộc tấn công phức tạp "Gwenenidze nói.

Suốt năm 2011, các cuộc tấn công tiếp tục và trở nên tinh vi hơn. Các nhà điều tra đã tìm thấy người được hỏi có liên quan đến ít nhất hai tin tặc Nga khác cũng như một người Đức. Ông cũng hoạt động trên một số diễn đàn mã hóa. Những mối quan hệ đó, cùng với một số thực hành an ninh yếu, cho phép các nhà điều tra tiến gần hơn với anh ta.

Sau đó, một cái bẫy đã được đặt.

Các quan chức Georgia cho phép người dùng lây nhiễm vào một máy tính của họ. Trên máy tính đó, họ đặt một kho lưu trữ ZIP mang tên "Thỏa thuận Gruzia-Nato". Anh ta lấy mồi, làm cho chương trình gián điệp của chính các nhà điều tra được cài đặt.

Từ đó, webcam của anh ta được bật lên, dẫn đến những bức ảnh khá rõ ràng về khuôn mặt của anh ta. Nhưng sau 5 đến 10 phút, kết nối bị cắt đứt, có lẽ vì người dùng biết anh ta đã bị tấn công.

Một tài liệu Microsoft Word, viết bằng tiếng Nga, chứa đựng những chỉ dẫn từ người xử lý của người đàn ông về mục tiêu lây nhiễm và làm thế nào. Các bằng chứng khác liên quan đến sự tham gia của Nga bao gồm việc đăng ký một trang web được sử dụng để gửi email độc hại. Nó đã được đăng ký cho một địa chỉ bên cạnh Dịch vụ an ninh liên bang của đất nước, trước đây được gọi là KGB, báo cáo nói.

"Chúng tôi đã xác định các cơ quan an ninh của Nga, một lần nữa," nó kết thúc.

Vì các mối quan hệ căng thẳng giữa Nga và Gruzia, không chắc người đàn ông trong bức ảnh có tên không được tiết lộ - sẽ bị truy tố nếu anh ta sống ở Nga.