จอร์เจียแฮ็กเกอร์แฮ็กเกอร์ที่ใช้ภาษารัสเซียโดยมีรูป

Cert.gov.ge หนึ่งในภาพสองภาพของแฮ็กเกอร์รัสเซียที่ถูกกล่าวหา ภาพนี้ได้รับการเผยแพร่โดยรัฐบาลจอร์เจีย

ในรูปถ่ายรูปคนหนึ่งที่มีผมสีเข้มมีเคราคนอื่น ๆ เข้าสู่หน้าจอคอมพิวเตอร์ของเขาอาจจะงงงวยว่าเกิดอะไรขึ้น ไม่กี่นาทีหลังจากนั้นเขาตัดการเชื่อมต่อของคอมพิวเตอร์ของเขาและรู้ว่าเขาถูกค้นพบ

ภาพถ่ายมีอยู่ในรายงานที่ระบุว่าการบุกรุกเกิดขึ้นจากรัสเซียซึ่งเปิดตัวแคมเปญการทหารห้าวันในเดือนสิงหาคม 2008 กับจอร์เจียซึ่งก่อนหน้านี้ คลื่นของการโจมตีทางอินเทอร์เน็ต

[การอ่านเพิ่มเติม: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows]

รูปถ่ายที่เป็นคำถามถูกนำมาหลังจากนักวิจัยกับทีมตอบสนองทางคอมพิวเตอร์ของรัฐบาลจอร์เจีย (Cert.gov.ge) ได้จัดการเหยื่อ ผู้ใช้คอมพิวเตอร์ในการดาวน์โหลดสิ่งที่เขาคิดว่าเป็นไฟล์ที่มีข้อมูลที่ละเอียดอ่อน ในความเป็นจริงมีโปรแกรมสอดแนมลับของตัวเอง จอร์เจียเริ่มสืบสวนการสอดแนมในโลกไซเบอร์ที่เชื่อมโยงกับชายคนนี้ในเดือนมีนาคม 2554 หลังจากไฟล์บนคอมพิวเตอร์ที่เป็นของเจ้าหน้าที่ของรัฐได้รับการตั้งชื่อว่า "น่าสงสัย" โดยโปรแกรมป้องกันไวรัสของรัสเซีย Dr. Giorenidze กล่าวว่า "การตรวจสอบพบว่ามีการดำเนินการที่ซับซ้อนซึ่งได้ติดตั้งซอฟต์แวร์ที่เป็นอันตรายในเว็บไซต์ข่าวของจอร์เจียจำนวนมาก แต่เฉพาะในหน้าเว็บที่มีบทความเฉพาะซึ่งน่าสนใจสำหรับคนที่แฮ็กเกอร์ต้องการกำหนดเป้าหมาย ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์กับ Cert.gov.ge ซึ่งจัดการเหตุการณ์ด้านความปลอดภัยของคอมพิวเตอร์

ข่าวที่ได้รับการคัดเลือกเพื่อดึงดูดผู้ที่ตกเป็นเหยื่อมีหัวข้อข่าวเช่น "การเยี่ยมชมคณะผู้แทนของนาโต้ในจอร์เจีย" และ "ข้อตกลงและการประชุมของสหรัฐฯกับจอร์เจีย" ในรายงานที่ได้รับการตีพิมพ์ร่วมกับกระทรวงยุติธรรมของจอร์เจียและหน่วยงานแลกเปลี่ยนข้อมูล LEPL ซึ่งเป็นส่วนหนึ่งของกระทรวง

รายละเอียดของการรบ

CERT-Georgia จะไม่กล่าวอย่างที่ว่า st ติดเชื้อคอมพิวเตอร์เป็นของ แต่สิ่งที่ตามมาคือการอธิบายที่ดีที่สุดว่าเป็นการต่อสู้ทางอิเล็กทรอนิกส์มหากาพย์ระหว่างชายที่ดีของจอร์เจียและทีมงานแฮ็กเกอร์หรือทีมแฮ็กเกอร์ที่มีทักษะสูงหรือทีมแฮ็กเกอร์ในรัสเซีย

หน่วยงานได้ค้นพบว่ามีคอมพิวเตอร์ติดตั้งอยู่ 300 ถึง 400 เครื่องในหน่วยงานรัฐบาลที่สำคัญ ๆ และส่งเอกสารที่มีความสำคัญเพื่อให้เซิร์ฟเวอร์ถูกควบคุมโดยบุคคลที่มีปัญหา คอมพิวเตอร์ที่ถูกบุกรุกสร้าง botnet ชื่อว่า "Georbot"

ซอฟต์แวร์ที่เป็นอันตรายได้รับการตั้งโปรแกรมให้ค้นหาคำหลักเฉพาะเช่น USA, Russia, NATO และ CIA ในเอกสาร Microsoft Word และไฟล์ PDF และในที่สุดก็มีการแก้ไขเพื่อบันทึกเสียงและ ถ่ายภาพหน้าจอ เอกสารถูกลบภายในไม่กี่นาทีจากเซิร์ฟเวอร์แบบเลื่อนลงหลังจากที่ผู้ใช้คัดลอกไฟล์ไปยังพีซีของตนเอง

จอร์เจียบล็อกการเชื่อมต่อกับเซิร์ฟเวอร์แบบเลื่อนลงที่ได้รับเอกสาร คอมพิวเตอร์ที่ติดไวรัสได้รับการทำความสะอาดแล้วจากมัลแวร์ แต่แม้จะรู้ว่าการดำเนินการของเขาได้รับการค้นพบผู้ใช้ไม่ได้หยุด ในความเป็นจริงเขาก้าวขึ้นเกมของเขา

ในรอบถัดไปเขาได้ส่งชุดอีเมลไปยังเจ้าหน้าที่ของรัฐที่ดูเหมือนจะมาจากประธานาธิบดีจอร์เจียโดยมีที่อยู่ "[email protected]" อีเมลเหล่านี้มีไฟล์แนบ PDF ที่เป็นอันตรายโดยนัยที่มีข้อมูลทางกฎหมายโดยมีการใช้ประโยชน์จากมัลแวร์

ซอฟต์แวร์การรักษาความปลอดภัยไม่พบการโจมตีหรือมัลแวร์

การโจมตีแบบ PDF ทำงานอย่างไร

การโจมตี PDF ใช้รูปแบบไฟล์ XDP ซึ่งเป็นไฟล์ข้อมูล XML ที่มีสำเนาไฟล์ PDF มาตรฐานที่เข้ารหัส Base64 วิธีการในครั้งเดียวหลบเลี่ยงซอฟต์แวร์ป้องกันไวรัสทั้งหมดและระบบตรวจจับการบุกรุก เฉพาะในเดือนมิถุนายนปีนี้เท่านั้นที่ทีมแจ้งเหตุฉุกเฉินทางคอมพิวเตอร์ของสหราชอาณาจักรได้เตือนเรื่องนี้หลังจากหน่วยงานรัฐบาลของตนได้รับความสนใจ จอร์เจียเห็นการโจมตีดังกล่าวมากกว่าหนึ่งปีก่อนการเตือนภัย

นั่นคือหนึ่งในเงื่อนงำสำคัญที่จอร์เจียไม่ได้ติดต่อกับแฮ็กเกอร์โดยเฉลี่ย แต่เป็นผู้หนึ่งที่อาจเป็นส่วนหนึ่งของทีมที่มีความรู้ความเข้าใจเกี่ยวกับการโจมตีที่ซับซ้อน การเข้ารหัสและสติปัญญา

"ผู้ชายคนนี้มีทักษะชั้นสูง" Gurgenidze กล่าว

ตลอดปี 2554 การโจมตียังคงดำเนินต่อไปและกลายเป็นความซับซ้อนมากขึ้น นักวิจัยพบว่าบุคคลที่มีปัญหาเกี่ยวข้องกับแฮ็กเกอร์รัสเซียอีกสองรายและชาวเยอรมันคนหนึ่ง เขายังมีส่วนร่วมในฟอรัมการเข้ารหัส คำแนะนำเหล่านี้พร้อมกับแนวทางการรักษาความปลอดภัยที่อ่อนแอบางอย่างทำให้ผู้สืบสวนเข้ามาใกล้ชิดกับเขาได้มากขึ้น

จากนั้นก็มีการวางกับดัก

เจ้าหน้าที่จอร์เจียอนุญาตให้ผู้ใช้ติดไวรัสคอมพิวเตอร์เครื่องใดเครื่องหนึ่งของตนโดยเด็ดขาด ในคอมพิวเตอร์เครื่องนั้นพวกเขาได้เก็บไฟล์ ZIP ไว้ใน "Georgiaian-Nato Agreement" เขาเอาเหยื่อซึ่งทำให้โปรแกรมสอดแนมสืบสวนสอบสวนของตัวเองถูกติดตั้ง

จากนั้นเว็บแคมของเขาถูกเปิดขึ้นซึ่งส่งผลให้ใบหน้าของเขาชัดเจน แต่หลังจากห้าถึงสิบนาทีการเชื่อมต่อถูกตัดออกเนื่องจากอาจเป็นเพราะผู้ใช้รู้ว่าเขาถูกแฮ็ก แต่ในอีกไม่กี่นาทีเครื่องคอมพิวเตอร์ของเขาเช่นเดียวกับคนที่เขากำหนดเป้าหมายในรัฐบาลจอร์เจียก็ถูกส่งไปยังเอกสาร

เอกสาร Microsoft Word หนึ่งชุดที่เขียนขึ้นในรัสเซียมีคำแนะนำจากผู้ควบคุมของมนุษย์ว่าเป้าหมายจะติดไวรัสอย่างไร หลักฐานอื่น ๆ ที่ชี้ไปยังการมีส่วนร่วมของรัสเซียรวมถึงการลงทะเบียนเว็บไซต์ที่ใช้ในการส่งอีเมลที่เป็นอันตราย ได้รับการจดทะเบียนไปยังที่อยู่ถัดจาก Federal Security Service ของประเทศก่อนหน้านี้ว่า KGB ซึ่งเป็นรายงานกล่าวว่า

"เราได้ระบุหน่วยงานรักษาความปลอดภัยของรัสเซียอีกครั้งหนึ่งแล้ว" สรุปว่า

เนื่องจากความสัมพันธ์ที่ตึงเครียด ระหว่างรัสเซียและจอร์เจียไม่น่าจะเป็นไปได้ที่ชายผู้นี้ในภาพที่มีชื่อไม่ได้เปิดเผยว่าจะถูกดำเนินคดีต่อไปถ้าเขาอาศัยอยู่ในรัสเซีย