2012-10-31 08:51:51
Gruzja odnalazła sprawcę ataków na cyberprzestrzeń
Gruziński CERT pochwalił się w raporcie, że zidentyfikował sprawcę ostatnich ataków na swoją cyberprzestrzeń. Jest to kolejna odsłona w toczącym się od kilku lat pojedynku zza klawiatury.
Historia zaczyna się w 2011 roku, kiedy wykryto dziwną aktywność w rządowych sieciach. Atakujący umieszczali na forach i portalach informacyjnych spreparowane pliki programu MS Word oraz PDF z exploitami [1]. Pliki te były na tyle profesjonalnie przygotowane, iż nie wykrywały ich programy antywirusowe ani zapory sieciowe. Wybierano głównie fora oraz portale skierowane do konkretnych czytelników. Raport wymienia między innymi adresy stron związanych z energetyką i infrastrukturą (www.cei.ge), portale informacyjne (www.caucasustimes.com, www.psnews.ge). Większość strony była związana z tematyką Kaukazu i NATO.
Rozwiązaniem okazało się umieszczenie na jednym z zainfekowanych komputerów pliku o nazwie "Georgian-Nato Agreement.zip". Na taką przynętę złapał się jeden z włamywaczy. Po pobraniu pliku i rozpakowaniu jego komputer został zainfekowany. Pracownikom gruzińskiego CERT udało się zrobić zdjęcie włamywaczowi jego własną kamerą w laptopie.
Dwa zdjęcia włamywacza zamieszczone w raporcie gruzińskiego CERT.
Z poważniejszych rzeczy, które udało się uzyskać z komputera, znalazły się między innymi lista celów do zainfekowania oraz dane teleadresowe wskazujące na FSB. Oczywiście dane teleadresowe włamywacza również zostały ustalone.
Jeśli ktoś jest zainteresowany treścią raportu i metodyką ataku i kontrataku, polecam przeczytanie całego raportu.
(KN)
1 - program mający na celu wykorzystanie błędów w oprogramowaniu
