Georgiens outs Rysslandsbaserad hacker-med bilder

Cert.gov.geOne av två bilder av en påstådd rysk hacker. Fotoet släpptes av Georgiens regering.

I en av bilderna hör en mörkhårig skäggig användare i sin dators skärm, kanske förvånad över vad som händer. Minuter senare sänker han sin dators anslutning och inser att han har upptäckts.

Bilderna finns i en rapport som påstod att intrången härrörde från Ryssland, som inledde en fem dagars militärkampanj i augusti 2008 mot Georgien som föregicks av

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

De aktuella bilderna togs efter utredare med den georgiska regeringens Computer Emergency Response Team (Cert.gov.ge) lyckades bete datoranvändaren till att ladda ner vad han trodde var en fil som innehåller känslig information. Faktum är att det innehöll sitt eget hemliga spionprogram. Muggot togs från sin egen webbkamera.

Bakgrund

Georgien började undersöka cyberspionet kopplat till den här mannen i mars 2011 efter att en fil på en dator som tillhör en regeringschefer flaggades som "misstänkt" av ett ryskt antivirusprogram Programmet heter Dr. Web.

Undersökningen avslöjade en sofistikerad operation som planterade skadlig programvara på många georgiska nyhetswebbplatser, men endast på sidor med specifika artiklar som skulle intressera de personer som en hackare skulle vilja rikta in, säger Giorgi Gurgenidze, en cybersäkerhetsspecialist med Cert.gov.ge, som hanterar datasäkerhetshändelser.

De nyhetsberättelser som valts ut för att locka offer hade rubriker som "NATO-delegationsbesök i Georgien" och "USA-Georgiska avtal och möten" enligt till rapporten, gemensamt publicerad med Georgiens justitieministerium och LEPL Data Exchange Agency, som ingår i ministeriet.

Detaljer om slaget

CERT-Georgia kommer inte att säga exakt vem den granen st infekterad dator tillhörde. Men det som följer är bäst beskrivet som en episk elektronisk kamp mellan Georgiens bra killar och ett högkvalificerat hackare- eller troligt team av hackarebaserade i Ryssland.

Byrån upptäckte snabbt att 300 till 400 datorer i centrala myndigheter var infekterade och överföring av känsliga dokument för att släppa servrar som styrs av personen i fråga. De kompromissade datorerna bildade ett botnet med namnet "Georbot". Den skadliga programvaran programmerades för att söka efter specifika sökord - till exempel USA, Ryssland, Nato och CIA - i Microsoft Word-dokument och PDF-filer, och ändrades så småningom för att spela in ljud och ta skärmdumpar. Dokumenten raderades inom några minuter från drop-servrarna, efter att användaren hade kopierat filerna till sin egen dator.

Georgia blockerade anslutningar till drop-servrarna som mottog dokumenten. De infekterade datorerna rengjordes sedan av malware. Men trots att veta att hans operation hade upptäckts, slutade användaren inte. Faktum är att han steg upp sitt spel.

I nästa omgång skickade han en serie e-postmeddelanden till regeringstjänstemän som tycktes komma från Georgiens president, med adressen "[email protected]". De e-postmeddelandena innehöll en skadlig PDF-bilaga, som förvisso innehöll laglig information, med ett utnyttjande som levererade skadlig kod.

Varken exploateringen eller skadlig programvara upptäcktes av säkerhetsprogram.

Hur PDF-attacker fungerade

PDF-attackerna använde XDP-filformatet, vilket är en XML-datafil som innehåller en Base64-kodad kopia av en vanlig PDF-fil. Metoden försvann samtidigt alla antivirusprogram och intrångsdetekteringssystem. Det var först i juni i år att U.K.s datorberedskapsteam varnade för det efter det att dess myndigheter var riktade. Georgien såg sådana attacker mer än ett år före varningen.

Det var en av de viktigaste ledtrådarna att Georgien inte hade att göra med en genomsnittlig hackare, men en som kanske har varit med i ett lag med gedigen kunskap om komplexa attacker, kryptografi och intelligens.

"Den här killen hade högkvalitativa färdigheter", säger Gurgenidze.

Under 2011 fortsatte attackerna och blev mer sofistikerade. Undersökare fann att personen i fråga var kopplad till minst två andra ryska hackare samt en tysk. Han var också aktiv på vissa kryptografiska forum. Dessa ledtrådar, tillsammans med några svaga säkerhetspraxis, gjorde det möjligt för utredare att närma sig honom.

Sedan föll en fälla.

Georgiens tjänstemän gjorde det möjligt för användaren att infektera en av sina datorer med syfte. På den datorn lade de ett ZIP-arkiv med titeln "Georgian-NATO-avtalet". Han tog betet, vilket ledde till att utredarens egna spionprogram skulle installeras.

Därifrån slogs hans webkamera på, vilket resulterade i ganska tydliga bilder av hans ansikte. Men efter fem till 10 minuter avbröts anslutningen, förmodligen för att användaren visste att han hade blivit hackad. Men i de få minuterna hade hans dator som de som han riktade sig till den georgiska regeringen gruvd för dokument.

Ett Microsoft Word-dokument, skrivet på ryska, innehöll instruktioner från människans hanterare över vilka mål att infektera och hur. Andra omständigheter som tyder på ryskt engagemang inkluderade registreringen av en webbplats som användes för att skicka skadliga e-postmeddelanden. Det var registrerat på en adress bredvid landets federala säkerhetstjänst, tidigare känd som KGB, sade rapporten. "

" Vi har identifierat ryska säkerhetsbyråer, än en gång ", avslutar den.

På grund av de ansträngda relationerna mellan Ryssland och Georgien är det osannolikt att mannen i fotot - vars namn inte uppenbarades - någonsin skulle åtalas om han bor i Ryssland.