Georgia mengeluarkan peretas berbasis Rusia dengan foto

Dalam sebuah langkah yang belum pernah terjadi sebelumnya, negara Georgia-jengkel oleh serangan mata-mata cyber yang terus-menerus - telah menerbitkan dua foto dari seorang hacker berbasis Rusia yang diduga, yang Klaim Georgia melancarkan kampanye yang gigih selama berbulan-bulan yang mencuri informasi rahasia dari kementerian pemerintah, parlemen, bank, dan organisasi non-pemerintah Georgia.

Cert.gov.geSalah satu dari dua gambar seorang peretas Rusia yang diduga. Foto itu dirilis oleh pemerintah Georgia.

Dalam salah satu foto, seorang pengguna berambut hitam, berjenggot berjenggot ke layar komputernya, mungkin bingung dengan apa yang terjadi. Beberapa menit kemudian, dia memutus sambungan komputernya, menyadari bahwa dia telah ditemukan.

Foto-foto itu terdapat dalam laporan yang menuduh campur tangan berasal dari Rusia, yang meluncurkan kampanye militer lima hari pada Agustus 2008 melawan Georgia yang didahului oleh gelombang serangan cyber.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Foto-foto yang dipermasalahkan diambil setelah peneliti dengan Tim Respons Darurat Komputer Georgia (Cert.gov.ge) berhasil memancing pengguna komputer untuk mengunduh apa yang dia pikir adalah file yang berisi informasi sensitif. Bahkan, itu berisi program mata-mata rahasia sendiri. Foto itu diambil dari webcam miliknya.

Latar Belakang

Georgia mulai menyelidiki mata-mata cyber yang dikaitkan dengan pria ini pada Maret 2011 setelah sebuah file di komputer milik pejabat pemerintah ditandai sebagai "mencurigakan" oleh seorang antivirus Rusia. program yang disebut Dr. Web.

Penyelidikan menemukan operasi canggih yang menanam perangkat lunak berbahaya di banyak situs web berita Georgia, tetapi hanya pada halaman dengan artikel tertentu yang akan menarik minat orang-orang yang ingin dibidik oleh peretas, kata Giorgi Gurgenidze., seorang spesialis keamanan cyber dengan Cert.gov.ge, yang menangani insiden keamanan komputer.

Berita yang dipilih untuk menarik korban memiliki berita utama seperti "kunjungan delegasi NATO di Georgia" dan "perjanjian dan pertemuan AS-Georgia," menurut untuk laporan, bersama-sama diterbitkan dengan Kementrian Kehakiman Georgia dan Lembaga Pertukaran Data LEPL, yang merupakan bagian dari kementerian.

Rincian pertempuran

CERT-Georgia tidak akan mengatakan secara pasti siapa itu komputer yang terinfeksi milik. Namun apa yang terjadi selanjutnya paling baik digambarkan sebagai pertempuran elektronik yang epik antara orang-orang Georgia yang baik dan tim hacker yang sangat terampil atau kemungkinan besar yang berbasis peretas di Rusia.

Agen tersebut dengan cepat menemukan bahwa 300 hingga 400 komputer yang terletak di lembaga-lembaga pemerintah utama terinfeksi. dan mentransmisikan dokumen sensitif untuk menjatuhkan server yang dikendalikan oleh orang yang bersangkutan. Komputer yang dikompromikan membentuk botnet yang dijuluki "Georbot."

Perangkat lunak berbahaya itu diprogram untuk mencari kata kunci tertentu - seperti AS, Rusia, NATO dan CIA-dalam dokumen Microsoft Word dan PDF, dan akhirnya dimodifikasi untuk merekam audio dan ambil screenshot. Dokumen-dokumen itu dihapus dalam beberapa menit dari server drop, setelah pengguna menyalin file ke PC-nya sendiri.

Georgia memblokir koneksi ke server drop yang menerima dokumen. Komputer yang terinfeksi kemudian dibersihkan dari malware. Tetapi meskipun mengetahui operasinya telah ditemukan, pengguna tidak berhenti. Bahkan, dia meningkatkan permainannya.

Pada putaran berikutnya, dia mengirim serangkaian email kepada pejabat pemerintah yang tampaknya berasal dari presiden Georgia, dengan alamat "[email protected]." Email tersebut berisi lampiran PDF berbahaya, yang konon berisi informasi hukum, dengan exploit yang mengirimkan malware.

Baik exploit maupun malware tidak terdeteksi oleh perangkat lunak keamanan.

Bagaimana serangan PDF bekerja

Serangan PDF menggunakan format file XDP, yang merupakan file data XML yang berisi salinan bersandikan Base64 dari file PDF standar. Metode pada satu waktu menghindari semua perangkat lunak antivirus dan sistem deteksi intrusi. Baru pada bulan Juni tahun ini Tim Tanggap Darurat Komputer Inggris memperingatkan akan hal itu setelah agen pemerintahnya menjadi sasaran. Georgia melihat serangan semacam itu lebih dari setahun sebelum peringatan.

Itu adalah salah satu petunjuk utama bahwa Georgia tidak berurusan dengan hacker rata-rata, tetapi orang yang mungkin telah menjadi bagian dari tim dengan pengetahuan yang kuat tentang serangan kompleks, kriptografi, dan kecerdasan.

"Orang ini memiliki keterampilan kelas tinggi," kata Gurgenidze.

Sepanjang 2011, serangan berlanjut dan menjadi lebih canggih. Peneliti menemukan orang tersebut terkait dengan setidaknya dua peretas Rusia lainnya serta peretas Jerman. Dia juga aktif di beberapa forum kriptografi. Petunjuk itu, bersama dengan beberapa praktik keamanan yang lemah, memungkinkan penyidik ​​untuk lebih dekat dengannya.

Kemudian, sebuah perangkap dipasang.

Pejabat Georgia memungkinkan pengguna untuk menginfeksi salah satu komputer mereka dengan sengaja. Di komputer itu, mereka menempatkan arsip ZIP berjudul "Perjanjian Georgia-Nato." Dia mengambil umpan, yang menyebabkan program mata-mata para penyelidik sendiri untuk dipasang.

Dari sana, webcamnya dinyalakan, yang menghasilkan foto wajahnya yang cukup jernih. Tetapi setelah lima hingga 10 menit, koneksi terputus, mungkin karena pengguna tahu dia telah diretas. Namun dalam beberapa menit itu, komputernya seperti yang dia targetkan di pemerintahan Georgia - ditambang untuk dokumen.

Satu dokumen Microsoft Word, yang ditulis dalam bahasa Rusia, berisi instruksi dari orang yang menangani sasaran untuk menginfeksi dan bagaimana caranya. Bukti tidak langsung lainnya yang menunjukkan keterlibatan Rusia termasuk pendaftaran situs web yang digunakan untuk mengirim email berbahaya. Itu terdaftar ke alamat di sebelah Layanan Keamanan Federal negara itu, yang sebelumnya dikenal sebagai KGB, kata laporan itu.

"Kami telah mengidentifikasi badan keamanan Rusia, sekali lagi," tutupnya.

Karena hubungan yang tegang. antara Rusia dan Georgia, tidak mungkin pria di foto itu - yang namanya tidak terungkap - akan pernah dituntut jika dia tinggal di Rusia.