Geórgia derruba hackers com base na Rússia - com fotos

Cert.gov.geUma das duas imagens de um suposto hacker russo. A foto foi divulgada pelo governo da Geórgia.

Em uma das fotos, um usuário barbudo e de cabelos escuros olha para a tela do computador, talvez intrigado com o que está acontecendo. Minutos depois, ele corta a conexão de seu computador, percebendo que ele foi descoberto. As fotos estão contidas em um relatório que alega que as intrusões se originaram da Rússia, que lançou uma campanha militar de cinco dias em agosto de 2008 contra a Geórgia que foi precedida por Uma onda de ataques cibernéticos

[Leia mais: Como remover malwares do seu PC Windows]

As fotos em questão foram tiradas depois que investigadores da equipe de resposta de emergência do governo da Geórgia (Cert.gov.ge) conseguiram isca o usuário do computador para baixar o que ele pensava ser um arquivo contendo informações confidenciais. Na verdade, continha seu próprio programa secreto de espionagem. O filme foi tirado de sua própria webcam.

Antecedentes

A Geórgia começou a investigar a espionagem cibernética vinculada a esse homem em março de 2011, depois que um arquivo em um computador pertencente a um funcionário do governo foi sinalizado como "suspeito" por um antivírus russo. A investigação revelou uma operação sofisticada que implantou softwares maliciosos em vários sites de notícias georgianos, mas apenas em páginas com artigos específicos que interessariam aos tipos de pessoas que um hacker desejaria atingir, disse Giorgi Gurgenidze., especialista em segurança cibernética da Cert.gov.ge, que lida com incidentes de segurança de computadores

As notícias selecionadas para atrair vítimas têm manchetes como "visita da delegação da OTAN na Geórgia" e "acordos e reuniões EUA-Geórgia". ao relatório, publicado conjuntamente com o Ministério da Justiça da Geórgia e a Agência de Intercâmbio de Dados LEPL, que faz parte do ministério.

Detalhes da batalha

CERT-Geórgia não diz exatamente quem st computador infectado pertencia a. Mas o que se seguiu é melhor descrito como uma batalha eletrônica épica entre os mocinhos da Geórgia e uma equipe de hackers altamente qualificada na Rússia.

A agência descobriu rapidamente que 300 a 400 computadores localizados nas principais agências governamentais estavam infectados. e transmitir documentos confidenciais para eliminar servidores controlados pela pessoa em questão. Os computadores comprometidos formaram uma botnet apelidada de "Georbot".

O software malicioso foi programado para pesquisar palavras-chave específicas - como EUA, Rússia, OTAN e CIA - em documentos e PDFs do Microsoft Word e foi modificado para gravar áudio e tirar screenshots. Os documentos foram excluídos em alguns minutos dos servidores descartados, depois que o usuário copiou os arquivos para seu próprio PC.

Geórgia bloqueou as conexões com os servidores descartados que recebem os documentos. Os computadores infectados foram então limpos do malware. Mas apesar de saber que sua operação foi descoberta, o usuário não parou. Na verdade, ele intensificou seu jogo.

Na próxima rodada, ele enviou uma série de e-mails para autoridades do governo que pareciam vir do presidente da Geórgia, com o endereço "[email protected]". Esses e-mails continham um anexo de PDF mal-intencionado, supostamente contendo informações legais, com uma exploração que gerava malware.

Nem a exploração nem o malware foram detectados pelo software de segurança.

Como os ataques de PDF funcionavam

Os ataques de PDF usaram o formato de arquivo XDP, que é um arquivo de dados XML que contém uma cópia codificada em Base64 de um arquivo PDF padrão. O método já evitou todos os softwares antivírus e sistemas de detecção de invasão. Foi somente em junho deste ano que a Equipe de Resposta a Emergências de Computadores do Reino Unido alertou sobre isso depois que suas agências governamentais foram atacadas. A Geórgia viu esses ataques mais de um ano antes do aviso.

Essa foi uma das principais pistas de que a Geórgia não estava lidando com um hacker comum, mas alguém que pode ter sido parte de uma equipe com sólido conhecimento de ataques complexos., criptografia e inteligência

"Esse cara tinha habilidades de alta classe", disse Gurgenidze.

Ao longo de 2011, os ataques continuaram e se tornaram mais sofisticados. Os investigadores descobriram que a pessoa em questão estava conectada com pelo menos dois outros hackers russos, além de um alemão. Ele também estava ativo em alguns fóruns de criptografia. Essas pistas, juntamente com algumas práticas de segurança fracas, permitiram que os investigadores se aproximassem dele.

Então, uma armadilha foi estabelecida.

Os funcionários da Geórgia permitiram que o usuário infectasse um de seus computadores de propósito. Nesse computador, eles colocaram um arquivo ZIP intitulado "Acordo Georgiano-Nato". Ele mordeu a isca, o que fez com que o programa de espionagem dos investigadores fosse instalado.

De lá, sua webcam foi ligada, o que resultou em fotos bastante claras de seu rosto. Mas depois de cinco a dez minutos, a conexão foi cortada, presumivelmente porque o usuário sabia que ele havia sido hackeado. Mas naqueles poucos minutos, seu computador, como os que ele alvejava no governo georgiano, era extraído de documentos.

Um documento do Microsoft Word, escrito em russo, continha instruções do manipulador do homem sobre quais alvos infectar e como. Outra evidência circunstancial que apontava para o envolvimento russo incluía o registro de um site que era usado para enviar e-mails maliciosos. Foi registrado em um endereço próximo ao Serviço de Segurança Federal do país, anteriormente conhecido como KGB, disse o relatório.

"Identificamos as agências de segurança russas, mais uma vez", conclui.

Por causa das relações tensas entre a Rússia e a Geórgia, é improvável que o homem da foto - cujo nome não foi revelado - seja processado caso viva na Rússia.