სიახლეები Georbot – რა აკავშირებს საქართველოს  კიბერ შპიონაჟთან?

Georbot – რა აკავშირებს საქართველოს  კიბერ შპიონაჟთან?

metalab.ge

ავტორი: ლილი თოთლაძე

დღეს 21-ე საუკუნეში, როდესაც სამყარო იზოლირებულია სოციალური ქსელებით (ვირტუალური ცხოვრებით), რთულია გავიაზროთ არსებული საფრთხეები და პრობლემები, რაც თან ახლავს ჩვენს მიერ განხორციელებულ ქმედებებს ინტერნეტ სივრცეში. გაცნობიერებულად და ამავე დროს გაუცნობიერებლად შეიძლება აღმოვჩნდეთ ისეთი საფრთხის წინაშე,რამაც შესაძლოა სავალალო შედეგამდეც მიგვიყვანოს და საფრთხის შემცველი აღმოჩდეს არა მარტო ჩვენთვის, არამედ გარშემომყოფებისთვისაც. პრობლემის გადაჭრის და საფრთხის არიდების ერთადერთ გზას წარმოადგენს ცნობიერების ამაღლება, მეტი განათლება, პრობლემის და შედეგის გააზრება/გაანალიზება თუ რა შედეგამდე შეიძლება მივიდეთ არცოდნის გამო.

წარმოდგენილი თემა ერთ კონკრეტულ საკითხს ეხბა, თუმცა მოცულობით და  მიმართულებებით ბევრ მთლიანობას მოიცავს, რაც კიბერუსაფრთხოების და კიბერშპიონაჟის მიმართულებიდან მომდინარეობს.

რატომ Georbot-ი? – რა აკავშირებს საქართველოს  კიბერ შპიონაჟთან და Georbot-თან?

კიბერ საფრთხეები:

  1. კიბერ ომი
  2. კიბერ ორგანიზებული დანაშაული
  3. სამხედრო აღჭურვილობის დაზიანება
  4. შეტევა კრიტიკული ინფრასტრუქტურაზე
  5. კიბერ შპიონაჟი

2008 წლის აგვისტოში დაიწყო ხუთდღიანი სამხედრო კამპანია საქართველოს წინააღმდეგ, რასაც წინ უძღოდა ტალღოვანი კიბერშეტევები. 2008 წელს, რუსეთის სამხედრო მოქმედებებს წინ უძღოდა DDoS თავდასხმების სერია, რომლის მიზანი იყო ქართული ფინანსური და სამთავრობო ვებ-საიტები. ამ ყველაფერზე საზოგადოებამ და საქართველოს მთავრობამ გამოიწვია ვარაუდი, რომ რუსეთმა ჩაატარა კიბერ ომის პირველი აქტი მსოფლიოში – სადაც ფიზიკური სამხედრო ქმედებები კოორდინირებული იყო კიბერ აქტივობებთან. 

Georbot არის ტროას ინფორმაციის მოპარვა, რომელიც გამოიყენებოდა საქართველოს მოქალაქეების სამიზნედ. შემდგომი გამოკვლევის შემდეგ, ESET- ის მკვლევარებმა შეძლეს წვდომა მიეღოთ ბოტნეტის მართვის პანელზე, რომელიც შეიქმნა ამ მავნე პროგრამით, რამაც გამოავლინა ამ ოპერაციის მასშტაბები და განზრახვა. სააგენტომ სწრაფად აღმოაჩინა, რომ 300-დან 400-მდე კომპიუტერი, რომლებიც განთავსებული იყო მთავარ სამთავრობო უწყებებში, იყო ინფიცირებული და გადასცემდა მგრძნობიარე დოკუმენტებს ჰაკერების მიერ კონტროლირებადი სერვერების დასაშლელად. გაფუჭებულმა კომპიუტერებმა შექმნეს ბოტნეტი მეტსახელად “Georbot“.

 Georbot შეეძლო დოკუმენტების და სერთიფიკატების მოპარვა, აუდიო და ვიდეო ჩანაწერების შექმნა და ადგილობრივი ქსელიდან ინფორმაციის მიღება-დათვალიერება. საქართველოს CERT-მა დაიწყო თავდასხმის გამოძიება და აღმოაჩინა, რომ მავნე პროგრამა მიზნად ისახავდა კონკრეტული საკვანძო სიტყვების სტრიქონებს და დოკუმენტების ტიპებს, რომლებიც დაკავშირებული იყო არასამთავრობო ორგანიზაციების საქმიანობასთან ან სხვადასხვა სამთავრობო ოფისებთან. თავდასხმების უკან მყოფთა თვალყურის დევნება რთული იყო, რადგან C&C (ბრძანება და კონტროლი) სერვერების აღმოჩენისთანავე ქრებოდნენ. ვებ-პანელების მიხედვით დაინფიცირდა 390 კომპიუტერი. მათ შორის:

80% – საქართველო, 5% – აშშ ,5% – უკრაინა ,4% – კანადა- საფრანგეთი, 3% – გერმანია 3% – რუსეთი.

დაინფიცირებული ქართული კომპიუტერების უმრავლესობა ეკუთვნოდა ქართულ სახელმწიფო სტრუქტურებს და კრიტიკული ინფორმაციული ინფსრასტრუქტურის ორგანიზაციებს. ასევე რამდენიმე შემთხვევაში დაინფიცირებული იყო საბანკო სექტორის, არასამთავრობო ორგანიზაციების, კერძო კომპანიის კომპიუტერები.CERT-GOV-GE მოიპოვა სრული წვდომა Command & Controll სერვერებზე, გაშიფრა კომუნიკაციის მექანიზმები და გააანალიზა ვირუსული ფაილები. მიღებული ინფორმაციის საფუძველზე მოხერხდა შემტევი პიროვნებების და ორგანიზაციების იდენტიფიკაცია. აღნიშნულ ინციდენტში, კიდევ ერთხელ გამოიკვეთა რუსი ჰაკერების და სახელმწიფო ორგანიზაციების კვალი. 

3 მთავარი ფაქტი, რომელიც მიუთითებს რუსულ ორგანიზაციებზე:

Warynews.ru – კავშირი სამართავ სერვერთან კონფიგურაციის ფაილების მისაღებად

sukimato.bin – IP და DNS servers მისამართები Russian Business Network. (Linked with Russian Ministry of Defense in 2008 by US Cyber Consequences Unit, Grey Goose) შეყვანილია სხვადასხვა Blacklist-ებში.

194.186.36.167 – www.rbc.ru – ჩაწერილია პირდარპირ ვირუსულ ფაილში კომუნიკაცია მყარდება თუ მიუწვდომელია სხვა სამართავი ვებ-სერვერები (C&C)

Рос Бизнес Консалтинг Legalcrf.in – იგზავნება SPAM ელექტრონული ფოსტა admin@President.gov.ge – სახელით გაფორმებულია გაურკვეველ პიროვნებაზე, აღმოჩნდა ინდურ WHOIS სერვისის ჩანაწერში Person – Artur Jafuniaev Address: Lubianka 13, Moscow

დამატებითმა დასკვნებმა გაამართლა ვარაუდი, რომ Georbot-ის უკან რუსეთის მთავრობა იდგა, რადგან ერთ-ერთი საიტი, რომელიც გამოიყენება ინფიცირებული სისტემების გასაკონტროლებლად, ეკუთვნის RBN-ს (რუსული ბიზნეს ქსელი), ხოლო სხვა დომენი, რომელიც დაკავშირებულია RBN-თან, ჩაწერილი იყო უშუალოდ მავნე პროგრამაში.

და ბოლოს, დომენი, რომელიც გამოიყენებოდა Georbot-ის გავრცელების მავნე ელ.ფოსტის გასაგზავნად, დარეგისტრირდა FSB-ის (რუსეთის საიდუმლო სამსახური / ადრე ცნობილი როგორც KGB) მისამართის გამოყენებით.

  • 2011 წლის განმავლობაში თავდასხმები გაგრძელდა და უფრო დახვეწილი გახდა .
  • 2011 წლის მარტში CERT-GOV-GE აღმოაჩინეს ბოტნეტის სამართავი ვებ-სერვერი.

ვებ- სერვერის, ვირუსული ფაილების და სკრიპტების ანალიზის შედეგად დადგინდა:

  • გატეხილია ქართული საინფორმაციო NEWS საიტები. (მავნე სკრიპტი ჩასმულია მხოლოდ სპეციფიური ინფორმაციის შემცველ გვერდებზე)

  • ასეთი გვერდის გახისნისას კომპიუტერი ინფიცირდება უცნობი ვირუსით (ვერც ერთი ანტივირუსული პროდუქტი ვერ აიდენტიფიცირებს მას, აღმოჩენის მომენტში)

  • ჩანერგვის შემდეგ ვირუსული ფაილი მთლიანად აკონტროლებს კომპიუტერს

  • ეძებს “სენსიტიურ სიტყვებს” დოკუმენტებში

  • აკეთებს ვიდეო და აუდიო ჩანაწერებს ჩაშენებული ვებ-კამერის მეშვეობით.

გატეხილი საიტები:

www.ema.gov.ge – საწარმოთა მართვის სააგენტო,

www.open.ge – ახალი ამბების NEWS ვებ-საიტები,

www.caucasustimes.com – საინფორმაციო საიტი კავკასიის შესახებ

ვირუსის ფუნქციები:

• დოკუმენტებში სენსიტიური სიტყვების ძებნა

 • ნებისმიერი ფაილის გაგზავნა დისკიდან – სერვერის მიმართულებით

 • სერტიფიკატების მოპარვა

• Remote Desktop Protocol RDP, pbk, VPN   კონფიგურაციის ფაილების ძებნა

• Screenshot-ების გადაღება

• აუდიო ჩაწერა მიკროფონით

• ვიდეო ჩაწერა არსებული ვებ-კემერის მეშვეობით

 • ქსელში არსებული სხვა კომპიუტერების სკანირება/ინფიცირება

 • ნებისმიერი ქსელური აქტივობის განხორციელება დაინფიცირებული კოპმიუტერიდან (DoS-ში მონაწილეობა).

ყველა ბრძანება ინდივიდუალურად ეგზავნება თითოეულ დაინფიცირებულ კოპმიუტერს.

საქართველოს წინააღმდეგ Georbot- ის თავდასხმის უკან ეჭვმიტანილი ჰაკერი დააფიქსირა კამერამ, განაცხადა ქვეყნის CERT-მა. ბრალდებული ბოტმასტერის საბოლოო გამოსვლა იყო Georgia CERT-ის მუშაობის შედეგი, რომლის წინააღმდეგ მათ გამოიყენეს საკუთარი მავნე პროგრამა.

რა კავშირი აქვს ამ ყველაფერს კიბერ შპიონაჟთან? – პასუხიც ნათელია. ჩვენი ქვეყანა, რომელიც ყოველთვის მტრის სამიზნეა და ქვეყანა, რომელმაც კარგად იცის სამიზნე ქვეყნის სუსტი წერტილი..

უსაფრთხოება და განათლება უპირველეს ყოვლისა.. შესაბამისი ინვესიცია მიმართული უნდა იყოს ახალ თაობაში, რომელიც ქვეყნის მომავალი და კიბერ ძალაა. კიბერუსაფრთხოების მხრივ ცნობიერება და განათლება ბევრად დაბალია სხვა მიმართულებებთან შედარებით, ამიტომ მნიშვნელოვანია ყველა სექტორის მხრიდან ამ პროცესში საკუთარი წვლილის შეტანა. აუცილებელია, რომ საფრთხეებისა და გამოწვევების შესაბამისად გაცნობიერებაში ხელშეწყობით, მოხდეს საკითხის აქტუალიზება და მეტი ჩართულობა მუდმივი ინტერესისა და სენსიტიურობისთვის საზოგადოებაში.

დაკავშირებული სტატიები

www.metalab.ge

ანალიტიკური ცენტრი

TOP.GE

მოიწონე გვერდი

ბოლო სიახლეები

© metalab.ge –  საიტი შექმნილია  IWPR – ის მხარდაჭერით.