კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/cert...
TRANSCRIPT
![Page 1: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/1.jpg)
კიბერ შპიონაჟი საქართველოს წინააღმდეგ
![Page 2: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/2.jpg)
2 კიბერ სივრცე საჭიროებს დაცვას
Air Cyber
Earth Water
![Page 3: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/3.jpg)
3 კიბერ საფრთხეები DoD DHS SANS
1) კიბერ ომი 2) კიბერ ორგანიზებული დანაშაული 3) სამხედრო აღჭურვილობის დაზიანება 4) შეტევა კრიტიკული ინფრასტრუქტურაზე 5) კიბერ შპიონაჟი
![Page 4: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/4.jpg)
4 კიბერ შპიონაჟის მაგალითები 2008-2012
1) Stuxnet / FLAME Malware არაბული სახელმწიფოებიდან სენსიტიური ინფორმაციის მოპარვა 2) ACAD/MEDRE სამხრეთ ამერიკული სახელმწიფოებიდან AutoCAD-ის არქიტექტურული პროექტების ხელში ჩაგდება (ასევე აშშ. ჩინეთი. ტაივანი. ესპანეთი)
3) GhostNet ჩინური კიბერ შპიონაჟი ტიბეტის მთავრობის წინააღმდეგ 4) Operation Shady RAT ბოლო 5 წლის განმავლობაში 70+ გლობალურ კომპანიაში, ორგანიზაციებში და რამდენიმე სახელმწიფოში გამიზნული კიბერ შეღწევა, დოკუმენტაციის ხელში ჩაგდების მიზნით 5) Night Dragon გლობალურ ნავთობ, ენერგო და ფეტოქიმიურ კორპორაციებში კიბერშპიონაჟი ვირუსული კოდის გამოყენებით
![Page 5: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/5.jpg)
5
![Page 6: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/6.jpg)
6
2011 წლის მარტში CERT-GOV-GE აღმოაჩინა ბოტნეტის სამართავი ვებ-სერვერი ვებსერვერის, ვირუსული ფაილების და სკრიპტების ანალიზის შედეგად დადგინდა: 1. გატეხილია ქართული საინფორმაციო NEWS საიტები. (მავნე სკრიპტი ჩასმულია მხოლოდ სპეციფიური ინფორმაციის შემცველ გვერდებზე)
1. ასეთი გვერდის გახისნისას კომპიუტერი ინფიცირდება უცნობი ვირუსით (ვერც ერთი ანტივირუსული პროდუქტი ვერ აიდენტიფიცირებს მას, აღმოჩენის მომენტში) 3. ჩანერგვის შემდეგ ვირუსული ფაილი მთლიანად აკონტროლებს კომპიუტერს 4. ეძებს “სენსიტიურ სიტყვებს” დოკუმენტებში
5. აკეთებს ვიდეო და აუდიო ჩანაწერებს ჩაშენებული ვებ-კამერის მეშვეობით
![Page 7: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/7.jpg)
7
www.ema.gov.ge - საწარმოთა მართვის სააგენტო www.open.ge - ახალი ამბების NEWS ვებ-საიტები www.opentext.ge www.presa.ge www.presage.tv www.psnews.ge www.psnews.info www.resonancedaily.com www.caucasustimes.com - საინფორმაციო საიტი კავკასიის შესახებ www.cei.ge – Caucasus Energy and Infrastructure
გატეხილი საიტები
![Page 8: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/8.jpg)
8 www.psnews.info
![Page 9: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/9.jpg)
9
http://ema.gov.ge
![Page 10: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/10.jpg)
10 resonancedaily.com
![Page 11: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/11.jpg)
11 Frame.php
დაშიფრული Shellcode PHP ფაილში
![Page 12: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/12.jpg)
12 Frame.php
Frame.php იყენებს სხვადასხვა პროგრამულ პროდუქტში არსებულ უცნობ სისუსტეებს 1) Oracle Java ® – ობფუსცირებული jar ფაილი 2) Adobe® Reader – დაშიფრული PDF ფაილი (CERT-UK 2012 JUN)
3) Microsoft® Windows XP, 7 (ActiveX control) - 0-day CVE-2010-0842 CVE-2006-3730 MS06-057 სამიზნეა ყველა პოპულარული ბრაუზერი (IE, Chrome, Firefox, Opera)
![Page 13: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/13.jpg)
13
• დოკუმენტებში სენსიტიური სიტყვების ძებნა • ნებისმიერი ფაილის გაგზავნა დისკიდან - სერვერის მიმართულებით • სერტიფიკატების მოპარვა • Remote Desktop Protocol RDP, pbk, VPN კონფიგურაციის ფაილების ძებნა • Screenshot-ების გადაღება • აუდიო ჩაწერა მიკროფონით • ვიდეო ჩაწერა არსებული ვებ-კემერის მეშვეობით • ქსელში არსებული სხვა კომპიუტერების სკანირება/ინფიცირება • ნებისმიერი ქსელური აქტივობის განხორციელება დაინფიცირებული კოპმიუტერიდან (DoS-ში მონაწილეობა)
ვირუსის ფუნქციები
ყველა ბრძანება ინდივიდუალურად ეგზავნება თითოეულ დაინფიცირებულ კოპმიუტერს
![Page 14: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/14.jpg)
14
ვირუსული ფაილი სისტემატურად განიცდიდა განახლებებს: 30 მარტი, 2011 – დაემატა სერტიფიკატების მოპარვის ფუნქცია 14 სექტემბერი 2011 – შეიცვალა ინფიცირების მექანიზმი, ახალი Bypassing მექანიზმი (Antivirus/Firewall/IDS) 25 ნოემბერი 2011 – ვირუსი დაშიფრულია განსხვავებული Crypter-ით. აინფიცირებს Windows 7-ს. 12 December 2011 – დაემატა ვიდეო მონიტორინგის ფუნქცია, ასკანერებს და აინფიცირებს ქსელში განთავსებულ სხვა კომპიუტერებს, შეიცვალა გავრცელების ვექტორი .
![Page 15: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/15.jpg)
15
Antivirus Clean, Bypasses Windows 7 sp1 patched, with Firewall As of 25.03.2011, 20.06.2011, 16.01.2012, 25.03.2012 3.1-დან 5.4 ვერსიამდე calc.exe აკეთებს შემდეგ 3 ქმედებას: - მთავარი ვირუსული ფაილის გადმოწერამდე ამოწმებს სისტემის დროით სარტყელს. UTC+3, UTC+4 Time-zone. - დადებითი პასუხის შემთხვევაში იწერს მთავარს ვირუსულ ფაილს და კომუნიკაციას ამყარებს რამდენიმე სამართავ სერვერთან (C&C) - დაშიფრულად გზავნის დაინფიცირებული კოპმიუტერის IP მისამართს, C დისკის შიგთავსის სიას და ვინჩესტერის სერიულ ნომერს, სამართავ სერვერზე
ვირუსული აქტივობა
![Page 16: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/16.jpg)
16
2010 წლის აგვისტო - abkhaziaonline.xp3.biz 2010 წლის 13 სექტემბერი - georgiaonline.xp3.biz 2011 წლის 5 თებერვალი - ema.gov.ge (გატეხილი) 2011 წლის 30 მარტი - 178.32.91.70 (საფრანგეთი OVH Hosting) 2011 წლის 6 ინვისი - 88.198.240.123 (გერმანია, DME Hosting) 2011 წლის 17 ივლისი - 88.198.238.55 (გერმანია, DME Hosting) 2011 წლის 26 ნოემბერი 94.199.48.104 (უნგრეთი, Net23.hu) 2011 წლის 29 ნოემბერი 173.212.192.83 (აშშ, DME Hosting) 2011 წლის 2 დეკემბერი 31.31.75.63 (ჩეხეთი, Wedos Hosting) 2011 წლის 25 დეკემბერი 31.214.140.214 (გერმანია, Exetel) 2012 წლის 14 მარტი 78.46.145.24 (გერმანია, DME Hosting)
სამართავი სერვერები Command & Control
![Page 17: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/17.jpg)
17
სამართავი სერვერების IP მისამართები ჩაწერილია ვირუსულ ფაილში
![Page 18: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/18.jpg)
18
თუ ვერ ხერხდება სამართავ სერვერებთან დაკავშირება ვირუსული ფაილი კითხულობს პირველ ხაზს (IP მისამართს) გატეხილი ქართული სახელმწიფო საიტიდან http://ema.gov.ge
![Page 19: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/19.jpg)
19
ვირუსის განახლების ახალი მეთოდი
ვირუსის ახალი ვერსია იწერება როგორც base64 ენკოდირებული ტექსტი ერთდროულად სხვადასხვა სამართავი სერვერიდან ნაწილებად და შემდგომ ერთდება მთლიან ფაილად
![Page 20: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/20.jpg)
20 განახლების მექანიზმი
![Page 21: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/21.jpg)
21
Command & Control ვებსერვერები აღმოჩენისთანავე იცვლის მდებარეობას: US, German, French, Hungary, Czech, Russian Hosting Provider
გავაანალიზეთ 6 C&C და მოვიპოვეთ წვდომა სამართავ ვებ-პანელზე (გამოვიყენეთ ე.წ. Directory Transversal Vulnerability)
სამართავი სერვერების ანალიზი
![Page 22: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/22.jpg)
22
C&C პანელი
![Page 23: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/23.jpg)
23
DDoS
![Page 24: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/24.jpg)
24 Secret, Restricted, Confidential
![Page 25: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/25.jpg)
25
ვებ-პანელების მიხედვით დაინფიცირებულია 390 კომპიუტერი 80% - საქართველო 5% - აშშ 5% - უკრაინა 4% - კანადა, საფრანგეთი 3% - გერმანია 3% - რუსეთი
სხვა ქვეყნების IP მისამართები: სავარაუდო ვიზიტორები ან დაინფიცირებული კომპიუტერის ქვეყნიდან გასვლა
Botnet
![Page 26: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/26.jpg)
26
დაინფიცირებული ქართული კომპიუტერების უმრავლესობა ეკუთვნის ქართულ სახელმწიფო სტრუქტურებს და კრიტიკული
ინფორმაციული ინფსრასტრუქტურის ორგანიზაციებს
ასევე რამდენიმე შემთხვევაში დაინფიცირებული იყო საბანკო სექტორის, არასამთავრობო ორგანიზაციების, კერძო კომპანიის
კომპიუტერები
Botnet
![Page 27: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/27.jpg)
27
Botnet აშშ დაინფიცირებული კომპიუტერი
![Page 28: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/28.jpg)
28
Botnet ფრანგული IP დაინფიცირებული
![Page 29: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/29.jpg)
29
1) სენსიტიური დოკუმენტების ძებნა pdf, word, xls, txt, rtf, ppt დოკუმენტების შიგთავსში. 2) ვებკამერიდან ვიდეოს ჩაწერა: skype ზარის დროს, live streaming
თვალყური 3) C&C Web Panel-იდან ვირუსული კოდის მოდიფიცირება 4) კერძო შექმნილი Packer, Crypter Assembler-ზე (evading A/V) TDSS Rootkit-ის ზოგიერთი მახასიათებელი
5) განახლების მექანიზმი, Base-encoded plaintext, ერთდორულად
ნაწილების გადმოწერა სხვადასხვა C&C სერვერიდან. (evading IPS/IDS) 6) ქსელური კომუნიკაცია network socket ring0 level (evading firewall)
განსაკუთრებული მახასიათებლები
![Page 30: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/30.jpg)
30
დაგროვილ ინფორმაციაზე დაყრდნობით შემუშავდა ინციდენტზე რეაგირების გეგმა
1) შსს-სთან კოორდინირებული ქმედებებით, მოხერხდა
დაინფიცირების წყაროების გადაკეტვა: აღმოჩენისთანავე იბლოკებოდა 6 C&C სერვერის IP მისამართები ქვეყნის ძირითადი პროვაიდერების დონეზე (Fast Response) 2) ვირუსული ფაილის ღრმა ანალიზის შედეგად შემუშავდა
განეიტრალებისთვის საჭირო ტექნიკური მექანიზმები და გადაეგზავნა დაინფიცირებულ უწყებებს 3) თანამშრომლობა სხვადასხვა Antivirus, IDS/IPS მწარმოებელ
კომპანიებთან, დაცვის საშუალებების შესამუშავებლად (Microsoft, Symantec, Eset, Snort, Cisco, სხვადასხვა Blacklists, Blocklists)
გატარებული ღონისძიებები
![Page 31: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/31.jpg)
31
4) თანამშრომლობა US-CERT, Govermental-CERT-Germany, CERT-Ukraine, CERT-Polska, Microsoft
Cybersecurity Division 5) კონტაქტი ISP, Hosting Provider - Abuse Teams С&С სერვერების გასათიშად და ელექტრონული სამხილების ამოსაღებად (log files, system images) შემდგომი Cyber-Forensic ანალიზისათვის 6) სამართალდამცავი უწყებების ქმედებები გლობალურ დონეზე FBI – Federal Bureau of Investigation US Department of Homeland Security United States Secret Service
გატარებული ღონისძიებები
![Page 32: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/32.jpg)
32 Cyber Counter-Intelligence კიბერ შემტევების იდენტიფიცირება
Cyber CounterIntelligence – are measures to identify, penetrate, or neutralize foreign operations that use cyber
means as the primary tradecraft methodology, as well as foreign intelligence service collection efforts that use traditional methods to gauge cyber capabilities and intentions
DoD – Cyber CounterIntellignece
![Page 33: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/33.jpg)
33 Russian Business Network 2008
![Page 34: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/34.jpg)
34 Cyber Counter-Intelligence
CERT-GOV-GE მოიპოვა სრული წვდომა Command & Controll სერვერებზე, გაშიფრა კომუნიკაციის მექანიზმები და
გააანალიზა ვირუსული ფაილები
მიღებული ინფორმაციის საფუძველზე მოხერხდა შემტევი
პიროვნებების და ორგანიზაციების იდენტიფიკაცია
აღნიშნულ ინციდენტში, კიდევ ერთხელ გამოიკვეთა რუსი ჰაკერების და სახელმწიფო ორგანიზაციების კვალი
![Page 35: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/35.jpg)
35 Cyber Counter-Intelligence
3 მთავარი ფაქტი, რომელიც მიუთითებს რუსულ ორგანიზაციებზე
Warynews.ru – კავშირი სამართავ სერვერთან კონფიგურაციის ფაილების მისაღებად sukimato.bin – IP და DNS servers მისამართები Russian Business Network. (Linked with Russian Ministry of Defense in 2008 by US Cyber Consequences Unit, Grey Goose) შეყვანილია სხვადასხვა Blacklist-ებში 194.186.36.167 - www.rbc.ru – ჩაწერილია პირდარპირ ვირუსულ ფაილში კომუნიკაცია მყარდება თუ მიუწვდომელია სხვა სამართავი ვებ-სერვერები (C&C) Рос Бизнес Консалтинг Legalcrf.in – იგზავნება SPAM ელექტრონული ფოსტა [email protected] - სახელით გაფორმებულია გაურკვეველ პიროვნებაზე, აღმოჩნდა ინდურ WHOIS სერვისის ჩანაწერში Person - Artur Jafuniaev Address: Lubianka 13, Moscow
![Page 36: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/36.jpg)
36 1) WARYNEWS.RU/sukimato.bin ns1.austinclay.net
![Page 37: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/37.jpg)
37 2) Рос Бизнес Консалтинг
![Page 39: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/39.jpg)
39 LEGALCRF.IN
![Page 40: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/40.jpg)
40 Lubianka 13
Лубянка, 13, Москва - Департамент тыла МВД России - организация развития и обеспечения систем связи, совершенствования информационно-телекоммуникационных технологий и технической защиты информации;
![Page 41: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/41.jpg)
41
2011 წლის იანვარი - ESET Security - Report GEORBOT (cert-ის დახმარებით) რუსული საინფორმაციო საშუალებები აღნიშნავენ რომ ბოტნეტის კონტროლი ხდება ქართული სამთავრობო საიტიდან არაფერია ნათქვამი 6 რეალურ Command & Control სერვერზე
დეზინფორმაცია რუსულ წყაროებში ESET რეპორტზე დაყრდნობით
![Page 42: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/42.jpg)
42
1) აღნიშნული ვირუსით დავაინფიცირეთ საკუთარი სატესტო კომპიუტერი 2) შეიქმნა დოკუმენტის არქივი ცრუ სახელწოდებით „საქართველო-ნატოს
შეთანხმება 2011“ 3) არქივს მიება შემტევის შექმნილი ვირუსული ფაილი 4) კიბერ-შემტევმა მოიპარა -გადაწერა ცრუ „სენსიტიური“ დოკუმენტი 5) შედეგად იგი თავად დაინფიცირდა საკუთარი ვირუსული ფაილით (10-15 წუთის განმავლობაში)
CERT ჯგუფმა მოიპოვა წვდომა სამართავ პანელზე
შედეგად შესაძლებელი გახდა შემტევის კოპმიუტერის სრული კონტროლი
კიბერ-შემტევის იდენტიფიცირება
![Page 43: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/43.jpg)
43 Cyber Counter-Intelligence
კიბერ შემტევის კომპიუტერის მართვის შედეგად მოვიპოვეთ: ვიდეო მისი ვებ კამერიდან ეკრანის Screenshot-ები თუ როგორ ამატებს ახალ ფუნქციებს ვირუსულ ფაილში მიმოწერა ფორუმებზე შიფრაციის მექანიზმების შესახებ WASM, OllyDebugger დოკუმენტი რუსულ ენაზე, სადაც დეტალურად არის მითითებული ინსტრუქციები თუ როგორ ხდება აღნიშნული ვირუსის გამოყენება შემტევი დაკავშირებულია რამდენიმე რუს და გერმანელ ჰაკერთან. ინფორმაცია მისი რეალური IP-ის, პროვაიდერის, სხვადასხვა Email, ფორუმ-ის user-ის, მობილური კომპანიის, ავტომობილის შესახებ. მისი ძმა -Ментор по Кибер-Безопасности, Санкт-Петербург
![Page 44: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/44.jpg)
44
მისი ვებკამერიდან მოპოვებული სურათები
![Page 45: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/45.jpg)
45
მისი ეკრანის სქრინშოტი (ვირუსული ფაილები)
![Page 46: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/46.jpg)
46
მუშაობის პროცესი (ახალი ვერსიის შექმნის პროცესი)
![Page 47: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/47.jpg)
47
შემტევის პროვაიდერი, ქალაქი, ქვეყანა
![Page 48: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/48.jpg)
48
მეტსახელი (Nickname)
![Page 49: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/49.jpg)
49
მეტსახელი (Nickname) - რუსულ ჰაკერულ ფორუმებზე
![Page 50: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/50.jpg)
50
კიბერ-შემტევის მიერ სხვადასხვა დროს გამოყენებული სახელები კომპიუტერული თამაშების დროს..
![Page 51: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/51.jpg)
51
1) SSECI 2012 (Safety, Security and Efficiency of Critical Infrastructures) Prague, Czech Republic 30 may – 01 June 2012. (with support of ONRG – Office of Naval Research Global)
2) Symposium on Cyber Incidents and Critical Infrastructure Protection Tallinn, Estonia 18-19 June 2012
3) NATO – Science for Peace and Security (SPS) - METU - Middle East Technical University Georgian Cyber Cases for Afghan IT Specialists Ankara, Turkey 21 May - 01 Jun 2012
პრეზენტაცია წარდგენილ იქნა შემდეგ საერთაშორისო კონფერენციებზე
![Page 52: კიბერ შპიონაჟი საქართველოსdea.gov.ge/uploads/CERT DOCS/CERT.GOV.GE.pdf · 2012 წლის 14 მარტი 78.46.145.24 ... 2011](https://reader033.vdocuments.net/reader033/viewer/2022041519/5e2d4b30f876c518ff32b785/html5/thumbnails/52.jpg)
52
საქართველოს იუსტიციის სამინისტრო მონაცემთა გაცვლის სააგენტო
CERT-GOV-GE
თბილისი, საქართველო 0102 წმ. ნიკოლოზის/ნ. ჩხეიძის ქ. N2
Phone: +995 (32) 2 91 51 40 E-mail: [email protected]