Грузинские специалисты запечатлели хакера-шпиона его собственной веб-камерой
01.11.2012 14:24
—
Новости Hi-Tech
Грузинские специалисты по кибербезопасности из Команды реагирования на чрезвычайные ситуации (CERT-Georgia) смогли снять хакера (предположительно, российского) на камеру его собственного компьютера, сообщает британская газета The Daily Mail.
Для этого эксперты использовали файлы-приманки, якобы содержащие секретные данные. Однако, на самом деле, посредством этих файлов они загрузили в компьютер злоумышленника его собственную шпионскую программу. С помощью данного вируса хакер долгое время создавал ботнет из компьютеров государственных учреждений и неправительственных организаций в Грузии, США, Канаде, на Украине, во Франции и ряде других стран.
CERT-Georgia также утверждает, что эксперты установили местонахождение, интернет-провайдера и адреса электронной почты подозреваемого, а также информацию, которая связывает его с российскими спецслужбами и другими хакерами в Германии.
Кроме использования неизвестных недокументированных уязвимостей для установки вредоносного ПО, хакер размещал вредоносные ссылки на ряд web-страниц, которые могли заинтересовать пользователей атакованных систем.
Упомянутый ботнет, по словам грузинских специалистов, искал на зараженных машинах документы, содержащие определенные слова, а также использовал веб-камеры и микрофоны для удаленной слежки. По имеющимся данным, ботнет работал целый год, начиная с марта 2011 года.
Ранее другие подробности этой истории описал проживающий в Австралии американский журналист Джереми Кирк в статье, опубликованной несколькими техноблогами и IT-изданиями.
"На одной из фотографий темноволосый бородатый хакер вглядывается в экран своего компьютера. Возможно, он озадачен происходящим. Через несколько минут он обрывает соединение своего компьютера - понимая, что был обнаружен", - пишет Кирк, более 15 лет занимающийся вопросами компьютерной безопасности и защиты личных данных.
Грузия начала расследовать факты российского кибершпионажа в марте 2011 года - после того, как в компьютерах государственных чиновников был замечен подозрительный код, а многочисленные новостные сайты Грузии были заражены вредоносными программами. "Зараженными оказались только страницы со статьями на конкретную тематику, которыми могли интересоваться люди, бывшие целью хакера", - говорит специалист CERT-Georgia Гиорги Гургенидзе.
По данным "Грузия Online", новости, использованные в качестве приманки, были связаны с НАТО и грузинско-американскими отношениями, - отмечается в докладе, изданном министерством юстиции Грузии. Входящее в его структуру агентство по обслуживанию серверов с государственными базами данных быстро обнаружило, что 300-400 компьютеров в ключевых государственных ведомствах были инфицированы и передавали данные на посторонние сервера. Сформированная зараженными компьютерами бот-сеть была названа Georbot.
Как пишет Джереми Кирк, последовавшее кибер-противостояние "лучше всего описать как эпическую электронную битву между хорошими парнями из Грузии и высококвалифицированным хакером - или, вероятно, командой хакеров в России".
В результате проведенных грузинской стороной операций хакер понял, что обнаружен, но только активизировал свою игру. В дальнейшем CERT-Georgia получила доказательства того, что имеют дело не со средним хакером, а высококлассным специалистом - возможно, частью команды - с хорошим знанием криптографии и навыками сложных атак.
На протяжении 2011 года атаки продолжались и стали более изощренными. Следователи обнаружили, что кибер-шпион был связан по меньшей мере с двумя другими российскими и одним немецким хакером. Он также был активным участником некоторых форумов по криптографии. Почерпнутые оттуда сведения помогли CERT-Georgia приблизиться к нему и подготовить ловушку - после чего хакеру позволили заразить целевые компьютеры и скачать ZIP-архив, обозначенный как "Соглашения Грузия-НАТО".
Обманутый хакер загрузил подложенный ему код в свой компьютер. В течение 5-10 минут - пока российский кибершпион не понял, что он взломан, и отключился от сети - грузинские специалисты смогли сфотографировать его при помощи его собственной веб-камеры, а также скачать документы хакера.
В одном из них, написанном на русском языке, содержались инструкции заказчика: какие цели следует заразить и каким образом. Другое косвенное свидетельство против - сайт, который использовался для рассылки шпионских программ электронной почтой. Согласно докладу минюста Грузии, ресурс зарегистрирован "по адресу, расположенному рядом с ФСБ".
Джереми Кирк считает, что из-за напряженных отношений между Россией и Грузией хакер вряд ли будет привлечен к ответственности, если он живет в РФ.
Для этого эксперты использовали файлы-приманки, якобы содержащие секретные данные. Однако, на самом деле, посредством этих файлов они загрузили в компьютер злоумышленника его собственную шпионскую программу. С помощью данного вируса хакер долгое время создавал ботнет из компьютеров государственных учреждений и неправительственных организаций в Грузии, США, Канаде, на Украине, во Франции и ряде других стран.
CERT-Georgia также утверждает, что эксперты установили местонахождение, интернет-провайдера и адреса электронной почты подозреваемого, а также информацию, которая связывает его с российскими спецслужбами и другими хакерами в Германии.
Кроме использования неизвестных недокументированных уязвимостей для установки вредоносного ПО, хакер размещал вредоносные ссылки на ряд web-страниц, которые могли заинтересовать пользователей атакованных систем.
Упомянутый ботнет, по словам грузинских специалистов, искал на зараженных машинах документы, содержащие определенные слова, а также использовал веб-камеры и микрофоны для удаленной слежки. По имеющимся данным, ботнет работал целый год, начиная с марта 2011 года.
Ранее другие подробности этой истории описал проживающий в Австралии американский журналист Джереми Кирк в статье, опубликованной несколькими техноблогами и IT-изданиями.
"На одной из фотографий темноволосый бородатый хакер вглядывается в экран своего компьютера. Возможно, он озадачен происходящим. Через несколько минут он обрывает соединение своего компьютера - понимая, что был обнаружен", - пишет Кирк, более 15 лет занимающийся вопросами компьютерной безопасности и защиты личных данных.
Грузия начала расследовать факты российского кибершпионажа в марте 2011 года - после того, как в компьютерах государственных чиновников был замечен подозрительный код, а многочисленные новостные сайты Грузии были заражены вредоносными программами. "Зараженными оказались только страницы со статьями на конкретную тематику, которыми могли интересоваться люди, бывшие целью хакера", - говорит специалист CERT-Georgia Гиорги Гургенидзе.
По данным "Грузия Online", новости, использованные в качестве приманки, были связаны с НАТО и грузинско-американскими отношениями, - отмечается в докладе, изданном министерством юстиции Грузии. Входящее в его структуру агентство по обслуживанию серверов с государственными базами данных быстро обнаружило, что 300-400 компьютеров в ключевых государственных ведомствах были инфицированы и передавали данные на посторонние сервера. Сформированная зараженными компьютерами бот-сеть была названа Georbot.
Как пишет Джереми Кирк, последовавшее кибер-противостояние "лучше всего описать как эпическую электронную битву между хорошими парнями из Грузии и высококвалифицированным хакером - или, вероятно, командой хакеров в России".
В результате проведенных грузинской стороной операций хакер понял, что обнаружен, но только активизировал свою игру. В дальнейшем CERT-Georgia получила доказательства того, что имеют дело не со средним хакером, а высококлассным специалистом - возможно, частью команды - с хорошим знанием криптографии и навыками сложных атак.
На протяжении 2011 года атаки продолжались и стали более изощренными. Следователи обнаружили, что кибер-шпион был связан по меньшей мере с двумя другими российскими и одним немецким хакером. Он также был активным участником некоторых форумов по криптографии. Почерпнутые оттуда сведения помогли CERT-Georgia приблизиться к нему и подготовить ловушку - после чего хакеру позволили заразить целевые компьютеры и скачать ZIP-архив, обозначенный как "Соглашения Грузия-НАТО".
Обманутый хакер загрузил подложенный ему код в свой компьютер. В течение 5-10 минут - пока российский кибершпион не понял, что он взломан, и отключился от сети - грузинские специалисты смогли сфотографировать его при помощи его собственной веб-камеры, а также скачать документы хакера.
В одном из них, написанном на русском языке, содержались инструкции заказчика: какие цели следует заразить и каким образом. Другое косвенное свидетельство против - сайт, который использовался для рассылки шпионских программ электронной почтой. Согласно докладу минюста Грузии, ресурс зарегистрирован "по адресу, расположенному рядом с ФСБ".
Джереми Кирк считает, что из-за напряженных отношений между Россией и Грузией хакер вряд ли будет привлечен к ответственности, если он живет в РФ.