目录:
- 背景
- CERT-Georgia不会准确地说出谁是冷杉st感染的电脑属于。但接下来最好形容为格鲁吉亚的好人与俄罗斯高度熟练的黑客或可能的黑客团队之间的史诗般的电子战。
- 这是格鲁吉亚没有处理一个普通黑客的主要线索之一,但是可能是一个对复杂攻击有扎实知识的团队的一员,密码学和智力
乔治亚州以前所未有的举动 - 由持续的网络间谍攻击激怒 - 发布了两张涉嫌俄罗斯黑客的照片,格鲁吉亚人声称进行了为期数月的长期运动,窃取了格鲁吉亚政府部门,议会,银行和非政府组织的机密信息。
在其中一张照片中,一位黑发,有胡子的用户与他的电脑屏幕同行,可能会对发生的事情感到困惑。几分钟后,他削减了与计算机的连接,意识到他已被发现。
这些照片载于一份报告中,声称来自俄罗斯的入侵事件发生于2008年8月,对格鲁吉亚发起了为期五天的军事行动。一系列网络攻击。
[进一步阅读:如何从Windows PC中删除恶意软件]有问题的照片是在格鲁吉亚政府的计算机紧急响应小组(Cert.gov.ge)的调查人员设法诱饵电脑用户下载他认为是包含敏感信息的文件。实际上,它包含了自己的秘密间谍程序。该照片是从他自己的网络摄像头拍摄的。
背景
2011年3月,格鲁吉亚开始调查与该名男子相关的网络间谍活动,因为一名属于政府官员的计算机上的一个文件被一名俄罗斯防病毒人员标记为“可疑”该项调查揭露了一项复杂的行动,该行动在许多格鲁吉亚新闻网站上播放了恶意软件,但只在具有特定文章的网页上才会引起黑客想要攻击的人的种类,Giorgi Gurgenidze说,一名处理计算机安全事件的Cert.gov.ge网络安全专家。
选择吸引受害者的新闻报道有诸如“在格鲁吉亚的北约代表团访问”和“美国 - 格鲁吉亚协议和会议”等标题,该报告与格鲁吉亚司法部和作为该部的一部分的LEPL数据交换机构联合出版。
战斗细节
CERT-Georgia不会准确地说出谁是冷杉st感染的电脑属于。但接下来最好形容为格鲁吉亚的好人与俄罗斯高度熟练的黑客或可能的黑客团队之间的史诗般的电子战。
该机构很快发现位于主要政府机构的300至400台计算机被感染并将敏感文档发送到由该人员控制的放置服务器。被入侵的计算机形成了一个绰号为“Georbot”的僵尸网络。
恶意软件被编程为在Microsoft Word文档和PDF中搜索特定关键字 - 如美国,俄罗斯,北约和CIA--并最终修改为记录音频和采取截图。在用户将文件复制到自己的PC后,文件在几分钟内从放置服务器中删除。
格鲁吉亚阻止与接收文件的放置服务器的连接。被感染的计算机然后被清除了恶意软件。但是尽管知道他的手术已经被发现,用户并没有停下来。事实上,他加强了他的比赛。在下一轮,他向政府官员发送了一系列电子邮件,这些电子邮件似乎来自格鲁吉亚总统,地址为“[email protected]”。这些电子邮件包含一个恶意的PDF附件,据称含有法律信息,并带有恶意软件的漏洞。
安全软件未检测到漏洞利用和恶意软件。
PDF攻击如何工作
PDF攻击使用XDP文件格式,这是一个XML数据文件,其中包含一个标准PDF文件的Base64编码副本。该方法曾一度回避所有防病毒软件和入侵检测系统。直到今年6月,英国的计算机应急响应小组在其政府机构有针对性的情况下才提出警告。格鲁吉亚在警告发生前一年就发现了这种攻击。
这是格鲁吉亚没有处理一个普通黑客的主要线索之一,但是可能是一个对复杂攻击有扎实知识的团队的一员,密码学和智力
“这个人有很高的技巧,”Gurgenidze说,“在整个2011年,这些攻击持续不断,变得更加复杂。调查人员发现这个人与至少两名俄罗斯黑客以及一名德国黑客有关。他在一些密码论坛上也很活跃。这些线索以及一些薄弱的安全措施使得调查人员可以更加接近他。然后,一个陷阱被设置好了。格鲁吉亚官员允许用户故意感染他们的一台电脑。在那台计算机上,他们放置了一个名为“格鲁吉亚 - 北约协议”的ZIP存档。他采取诱饵,导致调查人员自己的间谍程序被安装。
从那里,他的摄像头被打开,导致相当清晰的他的脸部照片。但是在5到10分钟后,连接被切断,大概是因为用户知道他被黑客入侵了。但在那几分钟内,他的电脑 - 就像他在格鲁吉亚政府所针对的电脑一样 - 是为文件开采的。
一个用俄语写的微软Word文档包含了来自该人的处理程序的指令,以便感染目标和如何执行。其他指向俄罗斯参与的间接证据包括注册用于发送恶意电子邮件的网站。该报告称,它已经登记到该国联邦安全局旁边的一个地址,该地址以前称为克格勃(KGB),“我们再次确定了俄罗斯安全机构”,它得出结论。
由于关系紧张在俄罗斯和格鲁吉亚之间,如果照片中名字未透露的人不太可能会被起诉,如果他住在俄罗斯。