Автор Тема: Кибер шпионаж против Грузии и бумеранг русским спецслужбам  (Прочитано 7683 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн GZ06

  • Administrator
  • Маршал форума
  • *******
  • Сообщений: 12091
  • Карма 1984
  • Пол: Мужской
  • Очень злой Админ
  • Уважение: +103
forumkavkaz.com
31.10.2012  02:10:24


Наверное многие помнят как грузинские сервера подверглись атакам с разных сторон. Это было после войны 2008-ого. Грузия почему то не уделяла должного внимания таким процессам, но уже после этого серьезно задумались. Началась подготовка. А в 2011-ом провели великолепную операцию по выявлению злоумышленников. Как и предпологалось, это были все те пушистые и белые -из России.
Я в кратце выложу часть документации по этим делам.






Это были всего лишь некоторые выдержки из некоторых взломанных саитов.





А это примеры скриптов, найденных в некоторых страницах и перечень того что умеет делать вирус шпион:

Поиск сенситивных слов. Посылка любых фаилов с зараженного диска на сервер шпион. Воровство сертификатов. Поиск конфигурационных фаилов Remote Desktop Protocol RDP, pbk, VPN. Съемка скриншотов. Аудио и видео запись с микрофона и камеры зараженного компа. Сканирование других компов в сети и их заражение. Заставлять участие зараженных компов в любой сетевой атаке (DOS).
Все команды для исполнения приходят с командных компъютеров преступников.

Эти програмы-вирусы шпионы постоянно расширяют свои возможности.

30 марта 2011 -добавлена функция воровства сертификатов.
14 сентября 2011 -изменен механизм инфицирования через Bypassing (Antivirus/Firewall/IDS)
25 ноября 2011 -вирус зашифрован новым криптером и инфецирует виндоус 7.
12 декабря 2011 -добавленна функция видеомониторинга. Сканирует и инфецирует другие компы в локальной сети. Изменен вектор распростронения.

Antivirus Clean, Bypasses Windows 7 sp1 patched, with Firewall
As of 25.03.2011, 20.06.2011, 16.01.2012, 25.03.2012
с 3.1 до 5.4 версии делает следующие действия:

до записи главного вируса, проверяет временной пояс.
UTC+3, UTC+4 Time-zone.  

При положительном ответе записывает главный вирусный код и производит коммуникацию с несколькими управляющими серверами-преступниками (С&С)
Отсылает в зашифрованном виде аипи адрес инфецированного компа, перечень директории на диске, серииный номер диска.

Вот список управляющих серверов-преступников-шпионов, записанных в коде самого вируса:




Если не удается ему соединиться с управляющим сервером то вирус читает первую строку с аипи адресом со взломанного саита:




Новый метод обновления вируса:

новая версия вируса пишется как энкодированный текст base64 по частям с РАЗНЫХ УПРАВЛЯЮЩИХ СЕРВЕРОВ-ШПИОНОВ и только после этого соединяется в один вирус.

Механизм обновления:



Анализ управляющих серверов-шпионов:

При обнаружении Command & Control сразу же меняют свое местонахождение: US, German, French, Hungary, Czech, Russian Hosting Provider
Было проанализированно 6 C&C и получили доступ на управляющюю веб-панель. Было использованно т.н. Directory Transversal Vulnerability  :smile:

Вот панель управляющего сервера:

 

тут же.. ДДОС  :smile:





Согласно веб панели, проинфицированно 390 компов, из которых:
80% в Грузии, 5% в США, 5% Украина, 4% Канада, Франция, 3% Германия и 3% Россия

Инфицированные грузинские компы в большинстве были государственными и критических информационных структур. Были так же банковского сектора, неправительственных организации и некоторых частных компании.

Инфецированный ботнетом комп в США:



во франции:



Отличительные черты:

поиск сенситивных документов pdf, word, xls, txt, rtf, ppt
запись с вебкамеры при видео звонке skype и слежка по live streaming.
возможность модифицирования вируса с C&C Web Panel
некоторые показатали сделанного частным образом на Packer, Crypter Assembler -TDSS Rootkit. (evading A/V)
механизм обновления, Base-encoded plaintext, одновременная запись частей с нескольких C&C серверов. (evading IPS/IDS)
сетевая комуникация network socket ring0 level (evading firewall)

Это краткое содержание материалов по данной операции. На основе всего материала были разработанны мероприятия:

1)совместно с МВД Грузии удалось перекрытие источников инфицирования на уровне проваидеров страны виновника.
2)после исследования вирусного фаила были разработанны технические средства неитрализации и пересланы инфицированным организациям.
3)сотрудничество с разработчиками антивирусных средств (Microsoft, Symantec, Eset, Snort, Cisco) с разными Blacklists, Blocklists для разработки средств защиты.
4)сотрудничество с US-CERT, Govermental-CERT-Germany, CERT-Ukraine, CERT-Polska, Microsoft
Cybersecurity Division
5)контакты с ISP, Hosting Provider - Abuse Teams для отключения С&С и получения от них электронных улик (log files, system images)
6)Подключение правоохранительных организации на глобальном уровне FBI – Federal Bureau of Investigation
US Department of Homeland Security
United States Secret Service
 
Вот некоторые результаты:



CERT-GOV-GE получил полный контроль на сервера Command & Controll, расшифровал механизм комуникации и проанализировал вирусные фаилы. Полученными данными стало возможно идентифицировать личности организации шпионов. В данном инцинденте еще раз проявился Россииский след.

Warynews.ru - связь с управляющими серверами для получения конфигурационных фаилов. sukimato.bin –
IP и DNS servers данным -Russian Business Network. Связан с министерством обороны россии (Linked with Russian Ministry of Defense in 2008 by US Cyber Consequences Unit, Grey Goose)  :shpik: Успешно попал в разные Blacklist.  :up:

194.186.36.167 - www.rbc.ru записан прямо в коде вирусного фаила. Коммуникацию производит с другими веб серварами (C&C) Рос Бизнес Консалтинг

Legalcrf.in -отсылается спам будто от имени admin@president.gov.ge. Обнаружена запись на индииском WHOIS сервере.
Некто
Person - Artur Jafuniaev
Address: Lubianka 13, Moscow
 
Идентификация атакующего:

1)указанным вирусом заразили собственный тестовый комп
2)создали липовую документацию под названием "Договора Грузия-НАТО"
3)Эти самые документы заразили специально вирусом созданным самим атакующим
4)атакующий так и украл эти зараженные документы  :smile:
5)в результате он сам заразился собственным вирусом на 15 минут.

Вот эти 15 минут грузинские специалисты полностью проконтролировали его компъютер.
В результате этого было полученно:

видео запись с его компъютера.
скрин шоты с его монитора
его работа по усовершенствованию вируса )))
его переписка в том числе на форумах о механизмах WASM, OllyDebugger
документация на русском где детально даны инструкции по применению данного вируса
связи с другими хакерами в России и Германии
его емеилы, данные юзера на форумах, данные мобилки, об автомобиле.
Его брат:Ментор по Кибер-Безопасности, Санкт-Петербург


Вот он красавчег, у своего компа:



Вот скриншоты с его монитора:





Данные его проваидера:

 

Его ники:

 



Его имена в разных играх а разных временах:



и т.д....

Презентация данной работы и результатов так же были представленны на разных международных конференциях
« Последнее редактирование: Февраль 25, 2015, 10:51:28 am от GZ06 »
Абхазия -неотъемлемая часть Георгии! И я не доллар чтобы всем нравиться!!!


я серьёзно, не шучу!

Оффлайн Simo Hayha

  • Global Power Moderator
  • Генералисимус
  • ******
  • Сообщений: 20068
  • Карма 2041
  • Пол: Мужской
  • Уважение: +124
Отличная работа  :up:

Цитировать (выделенное)
Вот он красавчег, у своего компа

Всегда говорю, люди-дела, не пользуйтесь скайпом, по нему даже я могу вычислить из дома без особых усилии местонахождение человека.

Оффлайн Lion

  • Ветеран форума
  • ******
  • Сообщений: 2176
  • Карма 459
  • Пол: Мужской
  • Уважение: +52
Круто! :up:
Каждый мнит себя стратегом, видя бой со стороны. Шота Руставели.

Оффлайн Browning

  • Старший
  • ****
  • Сообщений: 514
  • Карма 106
  • Пол: Мужской
  • Dear uncle of CIA
  • Уважение: +5
No comments !!!  :shpik:
Дела Ронни жили, живут и будут жить!

Никакой арсенал, никакое оружие в мире не обладает такой невероятной силой,
как воля и подкреплённое моралью мужество свободных мужчин и женщин. Рональд Рейган

Оффлайн GZ06

  • Administrator
  • Маршал форума
  • *******
  • Сообщений: 12091
  • Карма 1984
  • Пол: Мужской
  • Очень злой Админ
  • Уважение: +103
А это вышло сразу после нас. Краткое объяснение на популярном языке того что произошло:

Грузинская CERT взломала хакера ФСБ
31.10.2012   15:46
"Клуб экспертов"

Грузинские специалисты по кибер-безопасности взломали и сфотографировали собственной веб-камерой российского хакера-шпиона, воровавшего данные с государственных серверов по заданию ФСБ. Этому посвящена статья Джереми Кирка, опубликованная 30 октября на ряде англоязычных порталов кибернетической тематики.
«На одной из фотографий темноволосый бородатый хакер вглядывается в экран своего компьютера. Возможно, он озадачен происходящим. Через несколько минут он обрывает соединение своего компьютера - понимая, что был обнаружен», - пишет автор. Снимки получены в результате многомесячной упорной кампании против кибер-шпиона, воровавшего конфиденциальную информацию из грузинских министерств, парламента, банков и неправительственных организаций.

Отмечается, что специалисты правительства Грузии из Команды реагирования на чрезвычайные ситуации (CERT) смогли поймать российского хакера на файлы-приманки, якобы содержащие секретные данные. На самом деле, грузинские специалисты посредством этих файлов загрузили в его компьютер собственную шпионскую программу.

Грузия начала расследовать российский кибер-шпионаж в марте 2011 года - после того, как в компьютерах государственных чиновников был замечен подозрительный код. Следствие раскрыло сложные операции, посредством которых многочисленные новостные сайты Грузии были заражены вредоносными программами. Но зараженными были только страницы со статьями на конкретную тематику, которыми могли интересоваться люди, бывшие целью хакера, - говорит специалист CERT Гиорги Гургенидзе.

Новости, выбраны для привлечения жертвы, были связаны с НАТО или грузино-американскими отношениями, - отмечается в докладе, изданном министерством юстиции Грузии. В ходящее в его структуру агентство по обслуживанию серверов с государственными базами данных быстро обнаружило, что 300-400 компьютеров в ключевых государственных ведомствах были инфицированы и передавали данные на посторонние сервера. Сформированная зараженными компьютерами бот-сеть была названа «Georbot».

Как пишет Джереми Кирк, последовавшее кибер-противостояние «лучше всего описать как эпическую электронную битву между хорошими парнями из Грузии и высококвалифицированным хакером - или, вероятно, командой хакеров, основанной в России». В результате проведенных грузинской стороной операций хакер понял, что обнаружен, но только активизировал свою игру. В дальнейшем CERT получила доказательства того, что имеют дело не со средним хакером, а высококлассным специалистом – возможно, частью команды - с хорошим знанием криптографии и навыками сложных атак.

На протяжении 2011 года атаки продолжались и стали более изощренными. Следователи обнаружили, что кибер-шпион был связан, по меньшей мере, с двумя другими российскими и одним немецким хакером. Он также был активным участником некоторых форумов по криптографии. Почерпнутые оттуда сведения помогли CERT приблизиться к нему и подготовить ловушку - после чего хакеру позволили заразить целевые компьютеры и забрать ZIP-архив, обозначенный как «Соглашения Грузия-НАТО».

Обманутый хакер загрузил подложенный ему код в свой компьютер. В течение 5-10 минут - пока российский кибер-шпион понял, что он взломан, и отсоединился от сети - грузинские специалисты смогли сфотографировать его собственной веб-камерой, а также скачать документы хакера. В одном из них, написанном на русском языке, содержались инструкции заказчика: какие цели следует заразить и каким образом. Другое косвенное свидетельство против России - сайт, который использовался для рассылки шпионских программ электронной почтой. Согласно докладу минюста Грузии, ресурс зарегистрирован по адресу, расположенному рядом с ФСБ.

http://www.apsny.ge/2012/mil/1351723564.php
Абхазия -неотъемлемая часть Георгии! И я не доллар чтобы всем нравиться!!!


я серьёзно, не шучу!

Оффлайн Орлеана

  • Герой
  • *****
  • Сообщений: 1676
  • Карма 582
  • Пол: Женский
  • Служу Свободе и Справедливости!
  • Уважение: +30
გილოცავ გამარჯვებას!
Поздравляю с победой!  :Bisapplause:
Это бой не на жизнь, а на смерть и до смерти
Наша ненависть пусть ваш сожжет Вавилон!
Запасайтесь гробами, кремлёвские черти!
Пусть тротил и свинец истребят ваш закон!
Государство рабов и вождей-изуверов...
Пусть ответит за всё эта злая sвинья:
За Чечню, и за Грузию полною мерой,
И за то, что сидели такие, как я!

Борис Стомахин

Оффлайн GZ06

  • Administrator
  • Маршал форума
  • *******
  • Сообщений: 12091
  • Карма 1984
  • Пол: Мужской
  • Очень злой Админ
  • Уважение: +103
Russian Hacker Gets a Taste of His Own Malware
 
By John P. Mello Jr.
TechNewsWorld
 
A hacker accused of having ties to Russian security services and cybercrime organizations was bitten by his own bug when the Republic of Georgia's national cybersecurity team unleashed his own malware on him. It had the same effect in reverse, allowing his webcam to be activated and documents to be accessed on his hard drive.
 
After a persistent series of attacks on its government computers by a Russian hacker, the Republic of Georgia got mad and refused to take it anymore.
 
[float=right]
The alleged hacker, caught on webcam.
Source: Georgian CERT team report
[/float]
 
In a reversal of roles, members of the country's Computer Emergency Response Team (CERT) suckered the cybermiscreant into downloading a file infected with his own spyware that allowed CERT to photograph the alleged hacker with his computer's webcam and ransack its hard drive for files.
 
The Georgian CERT team discovered the hacker's activity in March 2011. He was planting advanced malicious software on computers in Georgia and elsewhere that collected sensitive, confidential information about Georgian and American security documents, the team said.
 
"After investigating attackers servers and malicious files, we have linked this cyberattack to Russian official security agencies," Georgian CERT reported.
 
Targeted Attacks

In the course of his espionage campaign, the report notes, the suspected Russian cyberspy infected 390 computers -- 70 percent of them in Georgia, 5 percent in the United States and another 10 percent in Canada, Ukraine, France, China, Germany and Russia.
 
Organizations targeted in Georgia included government ministries, its parliament, critical information infrastructures, banks and non-governmental organizations, the report says.
 
The attacks were highly targeted. For example, Web pages at Georgian news websites were infected based on content. Stories about NATO and Georgia, meetings and agreements between the United States and Georgia and Georgian military news were popular targets of the hacker.
 
The infected pages transferred malicious software to the computers of anyone who visited them, according to the report. When executed, the malware took control of an infected computer, searched documents it held for sensitive words, and captured video and audio from any computer that had a built-in camera and microphone.
 
Russian Secret Service Connection

The attacker had connections to the notorious Russian Business Network, a well-known perpetrator of nefarious activities on the Web, as well as to the Russian Ministry of Internal Affairs, which includes the Federal Security Service (FSB), formerly the KGB, CERT alleged.
 
This site used by the hacker to control computers infected in Georgia belongs to the Russian Business Network, the CERT report asserts. A link to the network was also found embedded in the malware code used by the hacker.
 
In addition, the domain used by the hacker to send infected emails to Georgian targets during the phishing phase of his campaign was registered to someone with an address in the department of logistics at the Russian Ministry of Internal Affairs, the report says. Prior to launching a military campaign against Georgia in 2008, the Russians subjected the country to a cyberattack.
 
The phishing phase of the spy campaign began after Georgian CERT blocked the connections to the servers receiving documents stolen by the hacker's spyware and cleaned up computers it had infected, according to a report by the IDG News Service.
 
Obscure File Evades Detection

The infected attachments in those phishing messages, IDG reported, were in a file format, XDP, that didn't raise red flags in antivirus scanners. XDP -- XML Data Package -- allows PDF files to be represented as XML. An XDP file can be opened in Adobe Reader and viewed as if it were a PDF file.
 
"It's a clever idea," Sophos Security Advisor Chet Wisniewski told TechNewsWorld. "It's a really obscure format. It's not used commonly, which means it's unlikely that an administrator would explicitly block it from an email."
 
The PDF specification supports many different functions and features, explained Kaspersky Lab Senior Researcher Roel Schouwenberg. Just the base PDF specification document is about 800 pages long.
 
"What the bad guys try to do is find and use features which aren't yet supported by the anti-malware PDF scanners," he told TechNewsWorld.
 
Antivirus Free Pass

Ironically, if the hacker had embedded his malware in a PDF file, most antivirus programs would have likely identified the attachment as malicious, because PDF files are often used to deliver malware, and antivirus programs are conditioned to treat them with suspicion, Wisniewski explained.
 
"Because XDP is still read and interpreted by Adobe Reader," he continued, "if there's a vulnerability in Adobe Reader that you might exploit in a PDF you can put that same exploit code into a XDP file, but an antivirus scanner would most likely not know what it was, and pass it through."
 
XDP has been linked in the past to targeted attacks, like those in Georgia. In his analysis of the format in June, security researcher Brandon Dixon discovered a number of infected attachments that appeared to be focused on sensitive government targets. The attachments had filenames like "military planning.xdp "and "secret service training.xdp."
 
"These were never disseminated through crimeware," he told TechNewsWorld. "It appeared to be targeted malware."
 
"It was someone trying to compromise a specific target, as opposed to a larger audience, such as your typical computer user," he added.

http://www.technewsworld.com/story/Russian-Hacker-Gets-a-Taste-of-His-Own-Malware-76519.html?wlc=1351775602
« Последнее редактирование: Ноябрь 01, 2012, 06:44:40 pm от GZ06 »
Абхазия -неотъемлемая часть Георгии! И я не доллар чтобы всем нравиться!!!


я серьёзно, не шучу!

Оффлайн Simo Hayha

  • Global Power Moderator
  • Генералисимус
  • ******
  • Сообщений: 20068
  • Карма 2041
  • Пол: Мужской
  • Уважение: +124
В британской  The Daily Mail тоже есть

http://www.dailymail.co.uk/sciencetech/article-2225743/Alleged-hacker-caught-camera-cyber-security-experts-infect-HIS-OWN-virus.html

Оффлайн GZ06

  • Administrator
  • Маршал форума
  • *******
  • Сообщений: 12091
  • Карма 1984
  • Пол: Мужской
  • Очень злой Админ
  • Уважение: +103
Думаю что он и его дружки невъездные уже в другие страны. Их могут и на границе взять. А там сроки на эти дела ои ои ои...  :shpik:
Абхазия -неотъемлемая часть Георгии! И я не доллар чтобы всем нравиться!!!


я серьёзно, не шучу!

Оффлайн Lion

  • Ветеран форума
  • ******
  • Сообщений: 2176
  • Карма 459
  • Пол: Мужской
  • Уважение: +52
Вот ещё..., знай наших!  :buba:

Грузинские специалисты сфотографировали хакера-шпиона камерой его собственного компьютера

Грузинские специалисты по кибербезорасности из Команды реагирования на чрезвычайные ситуации (CERT-Georgia) смогли снять хакера (предположительно, российского) на камеру его собственного компьютера, сообщает британская газета The Daily Mail.

Для этого эксперты использовали файлы-приманки, якобы содержащие секретные данные. Однако, на самом деле, посредством этих файлов они загрузили в компьютер злоумышленника его собственную шпионскую программу. С помощью данного вируса хакер долгое создавал ботнет из компьютеров государственных учреждений и неправительственных организаций в Грузии, США, Канаде, на Украине, во Франции и ряде других стран.
http://hitech.newsru.com/article/01nov2012/gecertvruhckr

Каждый мнит себя стратегом, видя бой со стороны. Шота Руставели.

Оффлайн imansonwolf

  • Новичок
  • *
  • Сообщений: 2
  • Карма 0
  • Пол: Мужской
  • Уважение: 0
сотрудник госбезопасности грузии имеет право на активное участие в форуме по скриптографии. причем выходя на форум из домашнего кабинета зироу зироу. сакартвело это сплошная экзотика. следствие имеет право на любые домыслы. и имеет обязанность на тайну следствия. что, опять непонятно? ночные бабочки тбилисского бродвея. поподробнее опишу на своем сайте без цензуры.
homo homini lupus est. expect no mercy.

Оффлайн GZ06

  • Administrator
  • Маршал форума
  • *******
  • Сообщений: 12091
  • Карма 1984
  • Пол: Мужской
  • Очень злой Админ
  • Уважение: +103
сотрудник госбезопасности грузии имеет право на активное участие в форуме по скриптографии. причем выходя на форум из домашнего кабинета зироу зироу. сакартвело это сплошная экзотика. следствие имеет право на любые домыслы. и имеет обязанность на тайну следствия. что, опять непонятно? ночные бабочки тбилисского бродвея. поподробнее опишу на своем сайте без цензуры.

что еще остается московским виртуалам когда их зад прелюдно обнажился особенно в обосранном виде?
« Последнее редактирование: Ноябрь 11, 2012, 11:47:53 pm от GZ06 »
Абхазия -неотъемлемая часть Георгии! И я не доллар чтобы всем нравиться!!!


я серьёзно, не шучу!

Оффлайн imansonwolf

  • Новичок
  • *
  • Сообщений: 2
  • Карма 0
  • Пол: Мужской
  • Уважение: 0
ООН очень неохотно рассматривает заявки на пересмотр границ любой страны мира. право на освобождение имеют только колонии. где написано, что южная осетия и абхазия были колониями грузии? я был знаком в севастополе с командиром грузинского корабля тристаном арсеньевичем. он был очевидцем абхазской революции. абхазцы вообще не хотели воевать. через кавказский хребет перешел отряд басаева 20 человек. они и начали резню в абхазии. дом тристана разграблен.
жаль, что ваш телеканал аджария имеет защитный код. в августе 2009 года я смотрел передачи аджарии по сателиту. мне нравится полифония. и между. прочим показывали приемы грузинского спецназа в южной осетии.
я приду к себе домой. а у меня сидят  семеро осетинов и предлагают. давай проголосуем: чья это квартира?
вы спросите: что это за бред? я хотел спросить тоже самое, но не успел.

путин намерен развязать третью мировую войну ради крошки абхазской земли. в гробы лягут миллионы мужиков. а потом путин оденет мундир генералиссимуса. " быть может вас я рассмешил своею речью неискусной. все это было бы смешно, когда бы не было бы грустно"( лермонтов). почему- то я не вижу на форуме сообщения истинных русских патриотов от бога!?
homo homini lupus est. expect no mercy.

Оффлайн Simo Hayha

  • Global Power Moderator
  • Генералисимус
  • ******
  • Сообщений: 20068
  • Карма 2041
  • Пол: Мужской
  • Уважение: +124
почему- то я не вижу на форуме сообщения истинных русских патриотов от бога!?

Есть и зовут его Олег Лукин http://forumkavkaz.com/index.php?action=profile;u=1240;sa=showPosts

 


Facebook Comments