Igra mačke i miša: kako su gruzijski istražitelji hakovali ruskog hakera

Vesti, 31.10.2012, 10:02 AM

Potez bez presedana: besne zbog stalnih hakerskih napada i sajber špijunaže, vlasti Gruzije objavile su dve fotografije (pdf) ruskog hakera koji je navodno odgovoran za višemesečne sajber napade i krađu poverljivih informacija gruzijskih ministarstava, parlamenta, banaka i nevladinih organizacija.

Na jednoj objavljenoj fotografiji vidi se tamnokos čovek sa bradom koji gleda u monitor verovatno zbunjen onim što se događa. Nekoliko minuta kasnije, haker prekida vezu, očigledno shvatajući da je otkriven.

Fotografije su snimljene tako što su gruzijski istražitelji podmetnuli mamac za hakera u vidu fajla koji je navodno sadržao poverljive informacije a zapravo se radilo o špijunskom programu koji je napravio fotografije uz pomoć veb kamere računara koji pripada hakeru.

Gruzija je pokrenula istragu o sajber špijunaži u martu prošle godine kada je antivirusni program čiji je proizvođač ruska firma Dr. Web otkrio sumnjiv fajl na računaru koji pripada vladinom zvaničniku.

Dalja istraga je otkrila detalje o sofisticiranoj operaciji u okviru koje je ubacivan malver na brojne gruzijske sajtove, ali samo na stranicama sa člancima koji bi mogli interesovati ljude koji su za hakere bili poželjne mete napada.

Vesti koje su odabirane kao one koje bi mogle privući pažnju žrtava su one poput „Delegacija NATO u poseti Gruziji“ i slične koje su se ticale saradnje SAD i Gruzije.

Gruzijski tim nije saopštio kome pripada računar koji je prvi zaražen ali ono što se kasnije događalo može se opisati kao epska elektronska bitka između gruzijskih dobrih momaka i veštih ruskih hakera, ili verovatnije tima hakera.

Tim gruzijskih istražitelja ubrzo je otkrio da je 300 do 400 računara u najvažnijim vladinim agencijam zaraženo i da oni služe za prenos poverljivih dokumenata ka serverima koje kontolišu hakeri. Zaraženi računari formirali su bot mrežu nazvanu „Georbot“.

Zlonamerni softver bio je programiran da traga za određenim ključnim rečim kao što su SAD (USA), Rusija, NATO, CIA i to u Microsoft Word dokumentima i PDF fajlovima, pa čak i da snima zvuk i pravi snimke ekrana. Ukradeni dokumeti su posle svega nekoliko minuta uklanjani sa servera nakon što bi haker preuzeo kopiju fajlova na svoj računar.

Gruzija je blokirala veze ka serverima koji su bili pod kontolom hakera, a sa zaraženih računara je uklonjen malver. Ali uprkos tome što je operacija otkrivena, haker nije odustajao.

U sledećoj rundi, haker šalje seriju emailova vladinim zvaničnicima potpisujući kao pošiljaoca emailova gruzijskog predsednika. Adresa sa koje su poslati emailovi je [email protected]. Ovi emailovi sadržali su maliciozni PDF atačment, sa exploit-om koji je isporučivao malver. Antivirusni programi nisu uspeli da otkriju ni exploit ni malver.

U ovim napadima je korišćen XDP fajl koji sadrži kopiju PFD-a koja je enkodovana base64 enkodingom.

Ovo je bio ključni dokaz da gruzijski istražitelji imaju posla sa nekim ko nije prosečan haker, već da je reč o nekom ko je deo tima sa solidnim poznavanjem kompleksnih napada i kriptografije.

Tokom cele 2011. godine napadi su se ne samo nastavili već su postajali sve sofisticiraniji. Istražitelji su otkili da je haker povezan sa najmanje još dva ruska hakera i jednim nemačkim, kao i da je aktivan na forumima posvećenim kriptografiji.

Ovo poslednje otkriće kao i neke slabosti u pristupu bezbednosti samog hakera omogućili su istražiteljima da mu se približe.

Tada je došlo vreme da se hakeru postavi zamka. Istražitelji su namerno pustili hakera da zarazi jedan od njihovih računara na kome se nalazio ZIP fajl sa nazivom „Sporazum Gruzija - NATO“. I haker je najzad zgrizao mamac i preuzeo špijunski program gruzijskih istražitelja.

Od tog trenutka, veb kamera na njegovom računaru bila je uključena što je rezultiralo prilično jasnim fotografijama lica za kojim su istražitelji dugo tragali. Ali, hakeru je trebalo desetak minuta da shvati šta se događa i nakon što je otkrio da je i sam hakovan, veza je prekinuta.

Ali tih deset minuta bilo je dovoljno za Gruzijce da urade isto ono što je haker radio na njihovim računarima - traganje za dokumentima dovelo je istražitelje do jednog dokumenta napisanog na ruskom jeziku koji sadrži upustvo o metama, kao i o tome kako hakovati njihove računare.

Istražitelji su pronašli i druge posredne dokaze koji govore o umešanosti ruske Federalne službe bezbednosti (nekadašnjeg KGB-a) u ove napade uključujući i registraciju veb sajta koji je korišćen za slanje zlonamernih emailova.

Zbog zategutih odnosa Rusije i Gruzije, malo je verovatno da će haker, čiji ime nije otkriveno, ikada biti krivično gonjen u Rusiji.