RUSSISCHE HACKOPERATIE: MIVD legt uit hoe de Russen de OPCW wilden hacken en hoe ze werden gepakt
Inhoudsopgave:
- Georgia begon met het onderzoeken van de cyberspionage die met deze man te maken had in maart 2011 nadat een bestand op een computer van een overheidsfunctionaris door een Russisch antivirusprogramma als "verdacht" werd gemarkeerd programma genaamd Dr. Web.
- CERT-Georgia zal niet precies zeggen wie die spar De geïnfecteerde computer was van. Maar wat daarop volgde, kon het beste worden omschreven als een epische elektronische strijd tussen de goeden van Georgia en een zeer bekwame hacker - of waarschijnlijk een team van hackers in Rusland.
- De PDF-aanvallen maakten gebruik van de XDP-bestandsindeling, wat een XML-gegevensbestand is dat een Base64 gecodeerde kopie van een standaard PDF-bestand bevat. De methode heeft ooit alle antivirussoftware en inbraakdetectiesystemen ontweken. Pas in juni van dit jaar waarschuwde het Britse noodhulpteam van het VK voor het doelwit van zijn overheidsinstanties. Georgië zag dergelijke aanslagen meer dan een jaar voorafgaand aan de waarschuwing. Dat was een van de belangrijkste aanwijzingen dat Georgië niet te maken had met een gemiddelde hacker, maar iemand die deel uitmaakte van een team met een gedegen kennis van complexe aanvallen. , cryptografie en intelligentie.
Cert.gov.geEen van twee beelden van een vermeende Russische hacker. De foto is vrijgegeven door de regering van Georgia.
De foto's zijn opgenomen in een rapport dat naar verluidt de inbraken afkomstig zijn uit Rusland, die in augustus 2008 een vijfdaagse militaire campagne tegen Georgië begon, voorafgegaan door een golf van cyberaanvallen.
[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]
De foto's in kwestie zijn gemaakt nadat onderzoekers met het Computer Emergency Response Team van de Georgische overheid (Cert.gov.ge) zijn weten te lokken de computergebruiker om te downloaden waarvan hij dacht dat het een bestand was met gevoelige informatie. In feite bevatte het zijn eigen geheime spionageprogramma. De mugshot is afkomstig van zijn eigen webcam.Achtergrond
Georgia begon met het onderzoeken van de cyberspionage die met deze man te maken had in maart 2011 nadat een bestand op een computer van een overheidsfunctionaris door een Russisch antivirusprogramma als "verdacht" werd gemarkeerd programma genaamd Dr. Web.
Het onderzoek bracht een gesofisticeerde operatie aan het licht die kwaadaardige software op tal van Georgische nieuwswebsites had geplant, maar alleen op pagina's met specifieke artikelen die het soort mensen zouden interesseren dat een hacker zou willen targeten, zei Giorgi Gurgenidze, een cyberbeveiligingsspecialist bij Cert.gov.ge, die zich bezighoudt met computerbeveiligingsincidenten.
De nieuwsverhalen die werden geselecteerd om slachtoffers aan te trekken hadden koppen als "bezoek van de NAVO-delegatie in Georgië" en "Amerikaans-Georgische overeenkomsten en bijeenkomsten", naar het rapport, gezamenlijk gepubliceerd met het Georgische Ministerie van Justitie en het LEPL Data Exchange Agency, dat deel uitmaakt van het ministerie.
Details van de strijd
CERT-Georgia zal niet precies zeggen wie die spar De geïnfecteerde computer was van. Maar wat daarop volgde, kon het beste worden omschreven als een epische elektronische strijd tussen de goeden van Georgia en een zeer bekwame hacker - of waarschijnlijk een team van hackers in Rusland.
Het bureau ontdekte al snel dat 300 tot 400 computers in belangrijke overheidsinstanties besmet waren en verzenden van gevoelige documenten naar servers die worden gecontroleerd door de persoon in kwestie. De gecompromitteerde computers vormden een botnet met de bijnaam "Georbot."
De schadelijke software was geprogrammeerd om te zoeken naar specifieke sleutelwoorden (zoals de VS, Rusland, de NAVO en de CIA) in Microsoft Word-documenten en pdf's en werd uiteindelijk aangepast om audio op te nemen en maak screenshots. De documenten zijn binnen een paar minuten verwijderd van de drop-servers, nadat de gebruiker de bestanden naar zijn eigen pc had gekopieerd.
Georgia blokkeerde verbindingen met de servers die de documenten ontvingen. De geïnfecteerde computers werden vervolgens gereinigd van de malware. Maar ondanks het feit dat hij wist dat zijn operatie was ontdekt, stopte de gebruiker niet. Hij heeft zijn spel opgevoerd.
In de volgende ronde stuurde hij een reeks e-mails naar overheidsfunctionarissen die afkomstig bleken te zijn van de president van Georgia, met het adres "[email protected]." Die e-mails bevatten een schadelijke PDF-bijlage, die naar verluidt wettelijke informatie bevatte, met een exploit die malware opleverde.
Noch de exploit noch de malware werden door beveiligingssoftware gedetecteerd.
Hoe PDF-aanvallen werkten
De PDF-aanvallen maakten gebruik van de XDP-bestandsindeling, wat een XML-gegevensbestand is dat een Base64 gecodeerde kopie van een standaard PDF-bestand bevat. De methode heeft ooit alle antivirussoftware en inbraakdetectiesystemen ontweken. Pas in juni van dit jaar waarschuwde het Britse noodhulpteam van het VK voor het doelwit van zijn overheidsinstanties. Georgië zag dergelijke aanslagen meer dan een jaar voorafgaand aan de waarschuwing. Dat was een van de belangrijkste aanwijzingen dat Georgië niet te maken had met een gemiddelde hacker, maar iemand die deel uitmaakte van een team met een gedegen kennis van complexe aanvallen., cryptografie en intelligentie.
"Deze man had eersteklas vaardigheden", zei Gurgenidze.
Gedurende heel 2011 gingen de aanvallen door en werden ze geavanceerder. Onderzoekers ontdekten dat de persoon in kwestie was verbonden met ten minste twee andere Russische hackers, evenals een Duitse. Hij was ook actief op sommige cryptografiefora. Deze aanwijzingen, samen met enkele zwakke beveiligingspraktijken, stelden onderzoekers in staat dichter bij hem te komen.
Vervolgens werd een valstrik gezet.
De Georgische functionarissen hebben de gebruiker toegestaan om expres een van hun computers te infecteren. Op die computer plaatsten ze een ZIP-archief getiteld "Georgian-Nato Agreement." Hij nam het aas, waardoor het spionageprogramma van de onderzoekers werd geïnstalleerd.
Vanaf daar werd zijn webcam ingeschakeld, wat resulteerde in vrij duidelijke foto's van zijn gezicht. Maar na vijf tot tien minuten werd de verbinding verbroken, vermoedelijk omdat de gebruiker wist dat hij was gehackt. Maar in die paar minuten werd zijn computer, zoals die waarop hij zich richtte in de Georgische regering, gedolven voor documenten. Eén Microsoft Word-document, geschreven in het Russisch, bevatte instructies van de behandelaar van de man over de doelwitten om te infecteren en hoe. Andere indirecte aanwijzingen die wijzen op Russische betrokkenheid omvatten de registratie van een website die werd gebruikt om kwaadwillende e-mails te verzenden. Het werd geregistreerd op een adres naast de federale veiligheidsdienst van het land, voorheen bekend als de KGB, aldus het rapport.
"We hebben opnieuw Russische veiligheidsagentschappen geïdentificeerd", concludeert het.
Vanwege de gespannen relaties tussen Rusland en Georgië is het onwaarschijnlijk dat de man op de foto - wiens naam niet werd onthuld - ooit zou worden vervolgd als hij in Rusland woont.
Georgië student gearresteerd voor hacken cijfers, VoIP
Een Georgia student is belast met het hacken in de computers van zijn school om zijn cijfers te wijzigen.
Georgië zakenman schuldig aan e-snelheid omkoping
Een zakenman uit Georgia wordt schuldig bevonden aan omkopingskosten in verband met het Amerikaanse E-Rate-programma.
Georgië Cyberattacks gekoppeld aan de Russische georganiseerde misdaad
De cyberaanvallen tegen Georgië een jaar geleden werden uitgevoerd in nauwe samenwerking met Russische criminele bendes.