Georgien raus aus Russland Hacker - mit Fotos

In einem beispiellosen Schritt hat das von anhaltenden Cyber-Spionageangriffen irritierte Land Georgia zwei Fotos eines angeblichen Hackers aus Russland veröffentlicht, der, der Georgier behaupten, sie hätten eine monatelange Kampagne geführt, die vertrauliche Informationen von georgischen Regierungsministerien, Parlament, Banken und Nichtregierungsorganisationen gestohlen habe.

Cert.gov.geOne von zwei Bildern eines angeblichen russischen Hackers. Das Foto wurde von der Regierung von Georgia veröffentlicht.

Auf einem der Fotos blickt ein dunkelhaariger, bärtiger Benutzer in den Bildschirm seines Computers, vielleicht verwirrt über das, was gerade passiert. Minuten später schneidet er die Verbindung zu seinem Computer ab und erkennt, dass er entdeckt wurde.

Die Fotos sind in einem Bericht enthalten, der behauptet, dass die Intrusionen aus Russland stammen, die im August 2008 eine fünftägige militärische Kampagne gegen Georgien starteten Eine Welle von Cyberattacken.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Die Fotos wurden erstellt, nachdem Ermittler mit dem Computer Emergency Response Team (Cert.gov.ge) der georgischen Regierung versucht hatten, zu ködern Der Computerbenutzer lädt herunter, was er für eine Datei mit vertraulichen Informationen hielt. Tatsächlich enthielt es sein eigenes geheimes Spionageprogramm. Das Fahndungsfoto stammt aus seiner eigenen Webcam.

Hintergrund

Georgien begann im März 2011 mit der Untersuchung der Cyberspionage, die mit diesem Mann verbunden war, nachdem eine Datei auf einem Computer eines Regierungsbeamten von einem russischen Antivirenprogramm als "verdächtig" eingestuft wurde Programm namens Dr. Web.

Die Untersuchung ergab eine ausgeklügelte Operation, die bösartige Software auf zahlreichen georgischen Nachrichtenwebsites einbrachte, aber nur auf Seiten mit bestimmten Artikeln, die die Art von Leuten interessieren würden, die ein Hacker ins Visier nehmen wollte, sagte Giorgi Gurgenidze, ein Spezialist für Cyber-Sicherheit mit Cert.gov.ge, der für Computer-Sicherheitsvorfälle zuständig ist.

Die Nachrichten, die zur Anziehung von Opfern ausgewählt wurden, hatten Schlagzeilen wie "Besuch der NATO-Delegation in Georgien" und "amerikanisch-georgische Vereinbarungen und Treffen" zu dem Bericht, der gemeinsam mit dem georgischen Justizministerium und der LEPL Data Exchange Agency, die Teil des Ministeriums ist, veröffentlicht wurde.

Details der Schlacht

CERT-Georgien wird nicht genau sagen, wer diese Tanne ist st infizierter Computer gehörte dazu. Aber das, was folgte, ist am besten als ein epischer elektronischer Kampf zwischen Georgiens guten Jungs und einem hoch qualifizierten Hacker-Hacker-Team in Russland zu beschreiben.

Die Agentur entdeckte schnell, dass 300 bis 400 Computer in wichtigen Regierungsbehörden infiziert waren und Übertragen sensibler Dokumente an Drop-Server, die von der betreffenden Person kontrolliert werden. Die kompromittierten Computer bildeten ein Botnetz mit dem Spitznamen "Georbot".

Die Schadsoftware wurde so programmiert, dass sie nach bestimmten Stichwörtern wie USA, Russland, NATO und CIA in Microsoft Word-Dokumenten und PDFs suchte mach Screenshots. Die Dokumente wurden innerhalb weniger Minuten von den Drop-Servern gelöscht, nachdem der Benutzer die Dateien auf seinen eigenen PC kopiert hatte.

Georgia blockierte Verbindungen zu den Drop-Servern, die die Dokumente erhielten. Die infizierten Computer wurden dann von der Malware gereinigt. Aber obwohl er wusste, dass seine Operation entdeckt worden war, hörte der Benutzer nicht auf. In der Tat, er verstärkt sein Spiel.

In der nächsten Runde, schickte er eine Reihe von E-Mails an Regierungsbeamte, die vom Präsidenten von Georgia zu kommen schienen, mit der Adresse "[email protected]." Diese E-Mails enthielten einen bösartigen PDF-Anhang, der angeblich rechtliche Informationen enthielt, mit einem Exploit, der Malware lieferte.

Weder der Exploit noch die Malware wurden von Sicherheitssoftware erkannt.

Wie PDF-Angriffe funktionierten

Bei den PDF-Angriffen wurde das XDP-Dateiformat verwendet, bei dem es sich um eine XML-Datendatei handelt, die eine Base64-codierte Kopie einer Standard-PDF-Datei enthält. Die Methode hat einmal alle Antivirus-Software und Intrusion Detection Systeme umgangen. Erst im Juni dieses Jahres warnte das Computer Emergency Response Team des Vereinigten Königreichs davor, nachdem seine Regierungsbehörden ins Visier genommen worden waren. Georgien sah solche Angriffe mehr als ein Jahr vor der Warnung.

Das war einer der wichtigsten Anhaltspunkte, dass es sich bei Georgia nicht um einen durchschnittlichen Hacker handelte, sondern um einen, der ein Team mit soliden Kenntnissen über komplexe Angriffe war, Kryptographie, und Intelligenz.

"Dieser Typ hatte erstklassige Fähigkeiten", sagte Gurgenidze.

Während des gesamten Jahres 2011 gingen die Angriffe weiter und wurden raffinierter. Ermittler fanden heraus, dass die betreffende Person mit mindestens zwei anderen russischen Hackern sowie einem deutschen Hacker in Verbindung stand. Er war auch in einigen Kryptographie-Foren aktiv. Diese Hinweise, zusammen mit einigen schwachen Sicherheitspraktiken, erlaubten den Ermittlern, näher an ihn heranzukommen.

Dann wurde eine Falle gestellt.

Die Georgia-Beamten erlaubten dem Benutzer, einen ihrer Computer absichtlich zu infizieren. Auf diesem Computer platzierten sie ein ZIP-Archiv mit dem Titel "Georgisch-Nato-Abkommen". Er nahm den Köder, was dazu führte, dass die Spionageprogramme der Ermittler installiert wurden.

Von dort wurde seine Webcam eingeschaltet, was zu ziemlich klaren Fotos von seinem Gesicht führte. Aber nach fünf bis zehn Minuten wurde die Verbindung unterbrochen, vermutlich weil der Benutzer wusste, dass er gehackt wurde. Aber in diesen wenigen Minuten wurde sein Computer - wie er ihn in der georgischen Regierung angriff - nach Dokumenten durchsucht.

Ein auf Russisch geschriebenes Microsoft Word-Dokument enthielt Anweisungen des Managers, welche Ziele zu infizieren waren und wie. Weitere Indizien, die auf eine Beteiligung Russlands hinwiesen, waren die Registrierung einer Website, über die schädliche E-Mails versendet wurden. Es wurde an eine Adresse neben dem föderalen Sicherheitsdienst des Landes registriert, der früher als KGB bekannt war, heißt es in dem Bericht.

"Wir haben wieder russische Sicherheitsbehörden identifiziert", heißt es abschließend.

Wegen der angespannten Beziehungen zwischen Russland und Georgien ist es unwahrscheinlich, dass der Mann auf dem Foto - dessen Name nicht bekannt wurde - jemals strafrechtlich verfolgt würde, wenn er in Russland lebt.