Грузинские специалисты сфотографировали хакера-шпиона камерой его собственного компьютера

1 ноября 2012 года

Грузинские специалисты по кибербезорасности из Команды реагирования на чрезвычайные ситуации (CERT-Georgia) смогли снять хакера (предположительно, российского) на камеру его собственного компьютера, сообщает британская газета The Daily Mail.

Для этого эксперты использовали файлы-приманки, якобы содержащие секретные данные. Однако, на самом деле, посредством этих файлов они загрузили в компьютер злоумышленника его собственную шпионскую программу. С помощью данного вируса хакер долгое создавал ботнет из компьютеров государственных учреждений и неправительственных организаций в Грузии, США, Канаде, на Украине, во Франции и ряде других стран.

CERT-Georgia также утверждает, что эксперты установили местонахождение, интернет-провайдера и адреса электронной почты подозреваемого, а также информацию, которая связывает его с российскими спецслужбами и другими хакерами в Германии.

Кроме использования неизвестных недокументированных уязвимостей для установки вредоносного ПО, хакер размещал вредоносные ссылки на ряд web-страниц, которые могли заинтересовать пользователей атакованных систем.

Упомянутый ботнет, по словам грузинских специалистов, искал на зараженных машинах документы, содержащие определенные слова, а также использовал веб-камеры и микрофоны для удаленной слежки. По имеющимся данным, ботнет работал целый год, начиная с марта 2011 года.

Ранее другие подробности этой истории описал проживающий в Австралии американский журналист Джереми Кирк в статье, опубликованной несколькими техноблогами и IT- изданиями.

«На одной из фотографий темноволосый бородатый хакер вглядывается в экран своего компьютера. Возможно, он озадачен происходящим. Через несколько минут он обрывает соединение своего компьютера — понимая, что был обнаружен», - пишет Кирк, более 15 лет занимающийся вопросами компьютерной безопасности и защиты личных данных.

Грузия начала расследовать факты российского кибершпионажа в марте 2011 года - после того, как в компьютерах государственных чиновников был замечен подозрительный код, а многочисленные новостные сайты Грузии были заражены вредоносными программами. Зараженными оказались только страницы со статьями на конкретную тематику, которыми могли интересоваться люди, бывшие целью хакера, - говорит специалист CERT-Georgia Гиорги Гургенидзе.

По данным «Грузия Online», новости, использованные в качестве приманки, были связаны с НАТО и с грузинско-американскими отношениями, - отмечается в докладе, изданном министерством юстиции Грузии. Входящее в его структуру агентство по обслуживанию серверов с государственными базами данных быстро обнаружило, что 300-400 компьютеров в ключевых государственных ведомствах были инфицированы и передавали данные на посторонние сервера. Сформированная зараженными компьютерами бот-сеть была названа Georbot.

Как пишет Джереми Кирк, последовавшее кибер-противостояние «лучше всего описать как эпическую электронную битву между хорошими парнями из Грузии и высококвалифицированным хакером - или, вероятно, командой хакеров в России».

В результате проведенных грузинской стороной операций хакер понял, что обнаружен, но только активизировал свою игру. В дальнейшем CERT-Georgia получила доказательства того, что имеют дело не со средним хакером, а высококлассным специалистом – возможно, частью команды - с хорошим знанием криптографии и навыками сложных атак.

На протяжении 2011 года атаки продолжались и стали более изощренными. Следователи обнаружили, что кибер-шпион был связан по меньшей мере с двумя другими российскими и одним немецким хакером. Он также был активным участником некоторых форумов по криптографии. Почерпнутые оттуда сведения помогли CERT-Georgia приблизиться к нему и подготовить ловушку - после чего хакеру позволили заразить целевые компьютеры и скачать ZIP-архив, обозначенный как «Соглашения Грузия-НАТО».

Обманутый хакер загрузил подложенный ему код в свой компьютер. В течение 5-10 минут - пока российский кибершпион не понял, что он взломан, и отключился от сети - грузинские специалисты смогли сфотографировать его при помощи его собственной веб-камеры, а также скачать документы хакера.

В одном из них, написанном на русском языке, содержались инструкции заказчика: какие цели следует заразить и каким образом. Другое косвенное свидетельство против - сайт, который использовался для рассылки шпионских программ электронной почтой. Согласно докладу минюста Грузии, ресурс зарегистрирован «по адресу, расположенному рядом с ФСБ».

Джереми Кирк считает, что из-за напряженных отношений между Россией и Грузией хакер вряд ли будет привлечен к ответственности, если он живет в РФ.

Российские хакеры-шпионы: фрагменты досье

В 2010 году Рссийская ассоциация электронных коммуникаций (РАЭК) совместно с британским исследовательским агентством Powerscourt опубликовала рейтинг самых громких материалов о хакерах из России по теме киберпреступности и кибервойны.

Рейтинг был составлен по материалам западной прессы за период с января 2000 по март 2010 года. Темы в рейтинге распределены по абсолютному количеству оригинальных публикаций. Как отмечают составители рейтинга, общее число перепечаток на несколько порядков превышает число оригинальных материалов. В исследовании, в частности, отмечены:

- Кибератаки на eBay и Yahoo, которые привели к затруднениям в деятельности этих интернет-компаний и падению курса их акций, январь 2000 года.

- Задержание сотрудниками ФБР хакеров Василия Горшкова и Алексея Иванова, которые взламывали сети безопасности американских компаний и предлагали защиту от собственного взлома, октябрь 2000 года.

- Кампания в защиту программиста компании «Элкомсофт» Дмитрия Склярова, взломавшего защиту файлов популярного формата PDF и арестованного по обвинению компании Adobe на выставке в Лас-Вегасе, США, июль 2000 года.

- Вирусная эпидемия сетевого червя MyDoom, ставшего самой быстрораспространяющейся вредоносной программой в мире, февраль 2004 года.

- Кибератаки российских хакеров на Грузию и грузинских блогеров в LiveJournal, август 2008 года.

- Кибератаки против грузинских блогеров в Twitter и Facebook, август 2009 года.

- Крупнейшая в мире фармацевтическая сеть спамеров Glavmed рекламирует и продает с помощью спама поддельные средства для защиты от свиного гриппа, ноябрь 2009 года.

- Взлом почтовых ящиков ученых-климатологов, обсуждающих отсутствие проблемы глобального потепления, декабрь 2007 года.

- Сообщения о деятельности и последующем закрытии хостинговой сети Russian Business Network, предоставляющей услуги хакерам и распространителям вредоносных программ. Запад назвал RBN главным прибежищем киберпреступников.

Кроме того, в феврале 2012 года британские СМИ сообщали, что российские хакеры продают номера счетов и пароли от платежных карт жителей Великобритании. Данные британцев продаются на российских веб-сайтах за 30 долларов.

Информация из Великобритании стала доступна после того, как российские злоумышленники создали в сети Интернет базу данных. За сумму 300 долларов хакеры также предлагают доступ к действующему банковскому счету в Великобритании с кредитным лимитом до 13 тысяч долларов. Хищение конфиденциальной информации злоумышленники осуществляли при помощи рассылки вредоносных программ на компьютеры пользователей.

Также мошенники подсоединяют специальные аппараты, которые считывают информацию с кредитных карт жертв в магазинах и ресторанах. После хищения данные переносятся на пустые карты, которыми можно расплачиваться в тех странах, которые не используют новую технологию идентификации подлинности платежного средства через встроенный микрочип, а также в магазинах электронной торговли.