კიბერ შპიონაჟი საქართველოს წინააღმდეგ

2 კიბერ სივრცე საჭიროებს დაცვას

Air Cyber

Earth Water

3 კიბერ საფრთხეები DoD DHS SANS

1) კიბერ ომი 2) კიბერ ორგანიზებული დანაშაული 3) სამხედრო აღჭურვილობის დაზიანება 4) შეტევა კრიტიკული ინფრასტრუქტურაზე 5) კიბერ შპიონაჟი

4 კიბერ შპიონაჟის მაგალითები 2008-2012

1) Stuxnet / FLAME Malware არაბული სახელმწიფოებიდან სენსიტიური ინფორმაციის მოპარვა 2) ACAD/MEDRE სამხრეთ ამერიკული სახელმწიფოებიდან AutoCAD-ის არქიტექტურული პროექტების ხელში ჩაგდება (ასევე აშშ. ჩინეთი. ტაივანი. ესპანეთი)

3) GhostNet ჩინური კიბერ შპიონაჟი ტიბეტის მთავრობის წინააღმდეგ 4) Operation Shady RAT ბოლო 5 წლის განმავლობაში 70+ გლობალურ კომპანიაში, ორგანიზაციებში და რამდენიმე სახელმწიფოში გამიზნული კიბერ შეღწევა, დოკუმენტაციის ხელში ჩაგდების მიზნით 5) Night Dragon გლობალურ ნავთობ, ენერგო და ფეტოქიმიურ კორპორაციებში კიბერშპიონაჟი ვირუსული კოდის გამოყენებით

5

6

2011 წლის მარტში CERT-GOV-GE აღმოაჩინა ბოტნეტის სამართავი ვებ-სერვერი ვებსერვერის, ვირუსული ფაილების და სკრიპტების ანალიზის შედეგად დადგინდა: 1. გატეხილია ქართული საინფორმაციო NEWS საიტები. (მავნე სკრიპტი ჩასმულია მხოლოდ სპეციფიური ინფორმაციის შემცველ გვერდებზე)

1. ასეთი გვერდის გახისნისას კომპიუტერი ინფიცირდება უცნობი ვირუსით (ვერც ერთი ანტივირუსული პროდუქტი ვერ აიდენტიფიცირებს მას, აღმოჩენის მომენტში) 3. ჩანერგვის შემდეგ ვირუსული ფაილი მთლიანად აკონტროლებს კომპიუტერს 4. ეძებს “სენსიტიურ სიტყვებს” დოკუმენტებში

5. აკეთებს ვიდეო და აუდიო ჩანაწერებს ჩაშენებული ვებ-კამერის მეშვეობით

7

www.ema.gov.ge - საწარმოთა მართვის სააგენტო www.open.ge - ახალი ამბების NEWS ვებ-საიტები www.opentext.ge www.presa.ge www.presage.tv www.psnews.ge www.psnews.info www.resonancedaily.com www.caucasustimes.com - საინფორმაციო საიტი კავკასიის შესახებ www.cei.ge – Caucasus Energy and Infrastructure

გატეხილი საიტები

8 www.psnews.info

9

http://ema.gov.ge

10 resonancedaily.com

11 Frame.php

დაშიფრული Shellcode PHP ფაილში

12 Frame.php

Frame.php იყენებს სხვადასხვა პროგრამულ პროდუქტში არსებულ უცნობ სისუსტეებს 1) Oracle Java ® – ობფუსცირებული jar ფაილი 2) Adobe® Reader – დაშიფრული PDF ფაილი (CERT-UK 2012 JUN)

3) Microsoft® Windows XP, 7 (ActiveX control) - 0-day CVE-2010-0842 CVE-2006-3730 MS06-057 სამიზნეა ყველა პოპულარული ბრაუზერი (IE, Chrome, Firefox, Opera)

13

• დოკუმენტებში სენსიტიური სიტყვების ძებნა • ნებისმიერი ფაილის გაგზავნა დისკიდან - სერვერის მიმართულებით • სერტიფიკატების მოპარვა • Remote Desktop Protocol RDP, pbk, VPN კონფიგურაციის ფაილების ძებნა • Screenshot-ების გადაღება • აუდიო ჩაწერა მიკროფონით • ვიდეო ჩაწერა არსებული ვებ-კემერის მეშვეობით • ქსელში არსებული სხვა კომპიუტერების სკანირება/ინფიცირება • ნებისმიერი ქსელური აქტივობის განხორციელება დაინფიცირებული კოპმიუტერიდან (DoS-ში მონაწილეობა)

ვირუსის ფუნქციები

ყველა ბრძანება ინდივიდუალურად ეგზავნება თითოეულ დაინფიცირებულ კოპმიუტერს

14

ვირუსული ფაილი სისტემატურად განიცდიდა განახლებებს: 30 მარტი, 2011 – დაემატა სერტიფიკატების მოპარვის ფუნქცია 14 სექტემბერი 2011 – შეიცვალა ინფიცირების მექანიზმი, ახალი Bypassing მექანიზმი (Antivirus/Firewall/IDS) 25 ნოემბერი 2011 – ვირუსი დაშიფრულია განსხვავებული Crypter-ით. აინფიცირებს Windows 7-ს. 12 December 2011 – დაემატა ვიდეო მონიტორინგის ფუნქცია, ასკანერებს და აინფიცირებს ქსელში განთავსებულ სხვა კომპიუტერებს, შეიცვალა გავრცელების ვექტორი .

15

Antivirus Clean, Bypasses Windows 7 sp1 patched, with Firewall As of 25.03.2011, 20.06.2011, 16.01.2012, 25.03.2012 3.1-დან 5.4 ვერსიამდე calc.exe აკეთებს შემდეგ 3 ქმედებას: - მთავარი ვირუსული ფაილის გადმოწერამდე ამოწმებს სისტემის დროით სარტყელს. UTC+3, UTC+4 Time-zone. - დადებითი პასუხის შემთხვევაში იწერს მთავარს ვირუსულ ფაილს და კომუნიკაციას ამყარებს რამდენიმე სამართავ სერვერთან (C&C) - დაშიფრულად გზავნის დაინფიცირებული კოპმიუტერის IP მისამართს, C დისკის შიგთავსის სიას და ვინჩესტერის სერიულ ნომერს, სამართავ სერვერზე

ვირუსული აქტივობა

16

2010 წლის აგვისტო - abkhaziaonline.xp3.biz 2010 წლის 13 სექტემბერი - georgiaonline.xp3.biz 2011 წლის 5 თებერვალი - ema.gov.ge (გატეხილი) 2011 წლის 30 მარტი - 178.32.91.70 (საფრანგეთი OVH Hosting) 2011 წლის 6 ინვისი - 88.198.240.123 (გერმანია, DME Hosting) 2011 წლის 17 ივლისი - 88.198.238.55 (გერმანია, DME Hosting) 2011 წლის 26 ნოემბერი 94.199.48.104 (უნგრეთი, Net23.hu) 2011 წლის 29 ნოემბერი 173.212.192.83 (აშშ, DME Hosting) 2011 წლის 2 დეკემბერი 31.31.75.63 (ჩეხეთი, Wedos Hosting) 2011 წლის 25 დეკემბერი 31.214.140.214 (გერმანია, Exetel) 2012 წლის 14 მარტი 78.46.145.24 (გერმანია, DME Hosting)

სამართავი სერვერები Command & Control

17

სამართავი სერვერების IP მისამართები ჩაწერილია ვირუსულ ფაილში

18

თუ ვერ ხერხდება სამართავ სერვერებთან დაკავშირება ვირუსული ფაილი კითხულობს პირველ ხაზს (IP მისამართს) გატეხილი ქართული სახელმწიფო საიტიდან http://ema.gov.ge

19

ვირუსის განახლების ახალი მეთოდი

ვირუსის ახალი ვერსია იწერება როგორც base64 ენკოდირებული ტექსტი ერთდროულად სხვადასხვა სამართავი სერვერიდან ნაწილებად და შემდგომ ერთდება მთლიან ფაილად

20 განახლების მექანიზმი

21

Command & Control ვებსერვერები აღმოჩენისთანავე იცვლის მდებარეობას: US, German, French, Hungary, Czech, Russian Hosting Provider

გავაანალიზეთ 6 C&C და მოვიპოვეთ წვდომა სამართავ ვებ-პანელზე (გამოვიყენეთ ე.წ. Directory Transversal Vulnerability)

სამართავი სერვერების ანალიზი

22

C&C პანელი

23

DDoS

24 Secret, Restricted, Confidential

25

ვებ-პანელების მიხედვით დაინფიცირებულია 390 კომპიუტერი 80% - საქართველო 5% - აშშ 5% - უკრაინა 4% - კანადა, საფრანგეთი 3% - გერმანია 3% - რუსეთი

სხვა ქვეყნების IP მისამართები: სავარაუდო ვიზიტორები ან დაინფიცირებული კომპიუტერის ქვეყნიდან გასვლა

Botnet

26

დაინფიცირებული ქართული კომპიუტერების უმრავლესობა ეკუთვნის ქართულ სახელმწიფო სტრუქტურებს და კრიტიკული

ინფორმაციული ინფსრასტრუქტურის ორგანიზაციებს

ასევე რამდენიმე შემთხვევაში დაინფიცირებული იყო საბანკო სექტორის, არასამთავრობო ორგანიზაციების, კერძო კომპანიის

კომპიუტერები

Botnet

27

Botnet აშშ დაინფიცირებული კომპიუტერი

28

Botnet ფრანგული IP დაინფიცირებული

29

1) სენსიტიური დოკუმენტების ძებნა pdf, word, xls, txt, rtf, ppt დოკუმენტების შიგთავსში. 2) ვებკამერიდან ვიდეოს ჩაწერა: skype ზარის დროს, live streaming

თვალყური 3) C&C Web Panel-იდან ვირუსული კოდის მოდიფიცირება 4) კერძო შექმნილი Packer, Crypter Assembler-ზე (evading A/V) TDSS Rootkit-ის ზოგიერთი მახასიათებელი

5) განახლების მექანიზმი, Base-encoded plaintext, ერთდორულად

ნაწილების გადმოწერა სხვადასხვა C&C სერვერიდან. (evading IPS/IDS) 6) ქსელური კომუნიკაცია network socket ring0 level (evading firewall)

განსაკუთრებული მახასიათებლები

30

დაგროვილ ინფორმაციაზე დაყრდნობით შემუშავდა ინციდენტზე რეაგირების გეგმა

1) შსს-სთან კოორდინირებული ქმედებებით, მოხერხდა

დაინფიცირების წყაროების გადაკეტვა: აღმოჩენისთანავე იბლოკებოდა 6 C&C სერვერის IP მისამართები ქვეყნის ძირითადი პროვაიდერების დონეზე (Fast Response) 2) ვირუსული ფაილის ღრმა ანალიზის შედეგად შემუშავდა

განეიტრალებისთვის საჭირო ტექნიკური მექანიზმები და გადაეგზავნა დაინფიცირებულ უწყებებს 3) თანამშრომლობა სხვადასხვა Antivirus, IDS/IPS მწარმოებელ

კომპანიებთან, დაცვის საშუალებების შესამუშავებლად (Microsoft, Symantec, Eset, Snort, Cisco, სხვადასხვა Blacklists, Blocklists)

გატარებული ღონისძიებები

31

4) თანამშრომლობა US-CERT, Govermental-CERT-Germany, CERT-Ukraine, CERT-Polska, Microsoft

Cybersecurity Division 5) კონტაქტი ISP, Hosting Provider - Abuse Teams С&С სერვერების გასათიშად და ელექტრონული სამხილების ამოსაღებად (log files, system images) შემდგომი Cyber-Forensic ანალიზისათვის 6) სამართალდამცავი უწყებების ქმედებები გლობალურ დონეზე FBI – Federal Bureau of Investigation US Department of Homeland Security United States Secret Service

გატარებული ღონისძიებები

32 Cyber Counter-Intelligence კიბერ შემტევების იდენტიფიცირება

Cyber CounterIntelligence – are measures to identify, penetrate, or neutralize foreign operations that use cyber

means as the primary tradecraft methodology, as well as foreign intelligence service collection efforts that use traditional methods to gauge cyber capabilities and intentions

DoD – Cyber CounterIntellignece

33 Russian Business Network 2008

34 Cyber Counter-Intelligence

CERT-GOV-GE მოიპოვა სრული წვდომა Command & Controll სერვერებზე, გაშიფრა კომუნიკაციის მექანიზმები და

გააანალიზა ვირუსული ფაილები

მიღებული ინფორმაციის საფუძველზე მოხერხდა შემტევი

პიროვნებების და ორგანიზაციების იდენტიფიკაცია

აღნიშნულ ინციდენტში, კიდევ ერთხელ გამოიკვეთა რუსი ჰაკერების და სახელმწიფო ორგანიზაციების კვალი

35 Cyber Counter-Intelligence

3 მთავარი ფაქტი, რომელიც მიუთითებს რუსულ ორგანიზაციებზე

Warynews.ru – კავშირი სამართავ სერვერთან კონფიგურაციის ფაილების მისაღებად sukimato.bin – IP და DNS servers მისამართები Russian Business Network. (Linked with Russian Ministry of Defense in 2008 by US Cyber Consequences Unit, Grey Goose) შეყვანილია სხვადასხვა Blacklist-ებში 194.186.36.167 - www.rbc.ru – ჩაწერილია პირდარპირ ვირუსულ ფაილში კომუნიკაცია მყარდება თუ მიუწვდომელია სხვა სამართავი ვებ-სერვერები (C&C) Рос Бизнес Консалтинг Legalcrf.in – იგზავნება SPAM ელექტრონული ფოსტა admin@President.gov.ge - სახელით გაფორმებულია გაურკვეველ პიროვნებაზე, აღმოჩნდა ინდურ WHOIS სერვისის ჩანაწერში Person - Artur Jafuniaev Address: Lubianka 13, Moscow

36 1) WARYNEWS.RU/sukimato.bin ns1.austinclay.net

37 2) Рос Бизнес Консалтинг

38 3) SPAM LEGALCRF.IN

ბოლო შეტევის ვექტორი, 2012 admin@president.gov.ge

39 LEGALCRF.IN

40 Lubianka 13

Лубянка, 13, Москва - Департамент тыла МВД России - организация развития и обеспечения систем связи, совершенствования информационно-телекоммуникационных технологий и технической защиты информации;

41

2011 წლის იანვარი - ESET Security - Report GEORBOT (cert-ის დახმარებით) რუსული საინფორმაციო საშუალებები აღნიშნავენ რომ ბოტნეტის კონტროლი ხდება ქართული სამთავრობო საიტიდან არაფერია ნათქვამი 6 რეალურ Command & Control სერვერზე

დეზინფორმაცია რუსულ წყაროებში ESET რეპორტზე დაყრდნობით

42

1) აღნიშნული ვირუსით დავაინფიცირეთ საკუთარი სატესტო კომპიუტერი 2) შეიქმნა დოკუმენტის არქივი ცრუ სახელწოდებით „საქართველო-ნატოს

შეთანხმება 2011“ 3) არქივს მიება შემტევის შექმნილი ვირუსული ფაილი 4) კიბერ-შემტევმა მოიპარა -გადაწერა ცრუ „სენსიტიური“ დოკუმენტი 5) შედეგად იგი თავად დაინფიცირდა საკუთარი ვირუსული ფაილით (10-15 წუთის განმავლობაში)

CERT ჯგუფმა მოიპოვა წვდომა სამართავ პანელზე

შედეგად შესაძლებელი გახდა შემტევის კოპმიუტერის სრული კონტროლი

კიბერ-შემტევის იდენტიფიცირება

43 Cyber Counter-Intelligence

კიბერ შემტევის კომპიუტერის მართვის შედეგად მოვიპოვეთ: ვიდეო მისი ვებ კამერიდან ეკრანის Screenshot-ები თუ როგორ ამატებს ახალ ფუნქციებს ვირუსულ ფაილში მიმოწერა ფორუმებზე შიფრაციის მექანიზმების შესახებ WASM, OllyDebugger დოკუმენტი რუსულ ენაზე, სადაც დეტალურად არის მითითებული ინსტრუქციები თუ როგორ ხდება აღნიშნული ვირუსის გამოყენება შემტევი დაკავშირებულია რამდენიმე რუს და გერმანელ ჰაკერთან. ინფორმაცია მისი რეალური IP-ის, პროვაიდერის, სხვადასხვა Email, ფორუმ-ის user-ის, მობილური კომპანიის, ავტომობილის შესახებ. მისი ძმა -Ментор по Кибер-Безопасности, Санкт-Петербург

44

მისი ვებკამერიდან მოპოვებული სურათები

45

მისი ეკრანის სქრინშოტი (ვირუსული ფაილები)

46

მუშაობის პროცესი (ახალი ვერსიის შექმნის პროცესი)

47

შემტევის პროვაიდერი, ქალაქი, ქვეყანა

48

მეტსახელი (Nickname)

49

მეტსახელი (Nickname) - რუსულ ჰაკერულ ფორუმებზე

50

კიბერ-შემტევის მიერ სხვადასხვა დროს გამოყენებული სახელები კომპიუტერული თამაშების დროს..

51

1) SSECI 2012 (Safety, Security and Efficiency of Critical Infrastructures) Prague, Czech Republic 30 may – 01 June 2012. (with support of ONRG – Office of Naval Research Global)

2) Symposium on Cyber Incidents and Critical Infrastructure Protection Tallinn, Estonia 18-19 June 2012

3) NATO – Science for Peace and Security (SPS) - METU - Middle East Technical University Georgian Cyber Cases for Afghan IT Specialists Ankara, Turkey 21 May - 01 Jun 2012

პრეზენტაცია წარდგენილ იქნა შემდეგ საერთაშორისო კონფერენციებზე

52

საქართველოს იუსტიციის სამინისტრო მონაცემთა გაცვლის სააგენტო

CERT-GOV-GE

თბილისი, საქართველო 0102 წმ. ნიკოლოზის/ნ. ჩხეიძის ქ. N2

Phone: +995 (32) 2 91 51 40 E-mail: certteam@dea.gov.ge