Грузинские специалисты по кибер-безопасности взломали и сфотографировали собственной веб-камерой российского хакера-шпиона, воровавшего данные с государственных серверов по заданию ФСБ. Этому посвящена статья Джереми Кирка, опубликованная 30 октября на ряде англоязычных порталов кибернетической тематики.
«На одной из фотографий темноволосый бородатый хакер вглядывается в экран своего компьютера. Возможно, он озадачен происходящим. Через несколько минут он обрывает соединение своего компьютера — понимая, что был обнаружен», — пишет автор. Снимки получены в результате многомесячной упорной кампании против кибер-шпиона, воровавшего конфиденциальную информацию из грузинских министерств, парламента, банков и неправительственных организаций.
Отмечается, что специалисты правительства Грузии из Команды реагирования на чрезвычайные ситуации (CERT) смогли поймать российского хакера на файлы-приманки, якобы содержащие секретные данные. На самом деле, грузинские специалисты посредством этих файлов загрузили в его компьютер собственную шпионскую программу.
Грузия начала расследовать российский кибер-шпионаж в марте 2011 года — после того, как в компьютерах государственных чиновников был замечен подозрительный код. Следствие раскрыло сложные операции, посредством которых многочисленные новостные сайты Грузии были заражены вредоносными программами. Но зараженными были только страницы со статьями на конкретную тематику, которыми могли интересоваться люди, бывшие целью хакера, — говорит специалист CERT Гиорги Гургенидзе.
Новости, выбраны для привлечения жертвы, были связаны с НАТО или грузино-американскими отношениями, — отмечается в докладе, изданном министерством юстиции Грузии. В ходящее в его структуру агентство по обслуживанию серверов с государственными базами данных быстро обнаружило, что 300-400 компьютеров в ключевых государственных ведомствах были инфицированы и передавали данные на посторонние сервера. Сформированная зараженными компьютерами бот-сеть была названа «Georbot».
Как пишет Джереми Кирк, последовавшее кибер-противостояние «лучше всего описать как эпическую электронную битву между хорошими парнями из Грузии и высококвалифицированным хакером — или, вероятно, командой хакеров, основанной в России». В результате проведенных грузинской стороной операций хакер понял, что обнаружен, но только активизировал свою игру. В дальнейшем CERT получила доказательства того, что имеют дело не со средним хакером, а высококлассным специалистом – возможно, частью команды — с хорошим знанием криптографии и навыками сложных атак.
На протяжении 2011 года атаки продолжались и стали более изощренными. Следователи обнаружили, что кибер-шпион был связан, по меньшей мере, с двумя другими российскими и одним немецким хакером. Он также был активным участником некоторых форумов по криптографии. Почерпнутые оттуда сведения помогли CERT приблизиться к нему и подготовить ловушку — после чего хакеру позволили заразить целевые компьютеры и забрать ZIP-архив, обозначенный как «Соглашения Грузия-НАТО».
Обманутый хакер загрузил подложенный ему код в свой компьютер. В течение 5-10 минут — пока российский кибер-шпион понял, что он взломан, и отсоединился от сети — грузинские специалисты смогли сфотографировать его собственной веб-камерой, а также скачать документы хакера. В одном из них, написанном на русском языке, содержались инструкции заказчика: какие цели следует заразить и каким образом. Другое косвенное свидетельство против России — сайт, который использовался для рассылки шпионских программ электронной почтой. Согласно докладу минюста Грузии, ресурс зарегистрирован по адресу, расположенному рядом с ФСБ.
Джереми Кирк отмечает, что из-за напряженных отношений между Россией и Грузией хакер — чье имя не раскрывается — вряд ли будет привлечен к ответственности, если он живет в РФ.
Источник: www.apsny.ge
07.11.12.