Embed Size (px)
Citation preview
კიბერ შპიონაჟი საქართველოს წინააღმდეგ
2 კიბერ სივრცე საჭიროებს დაცვას
Air Cyber
Earth Water
3 კიბერ საფრთხეები DoD DHS SANS
1) კიბერ ომი 2) კიბერ ორგანიზებული დანაშაული 3) სამხედრო აღჭურვილობის დაზიანება 4) შეტევა კრიტიკული ინფრასტრუქტურაზე 5) კიბერ შპიონაჟი
4 კიბერ შპიონაჟის მაგალითები 2008-2012
1) Stuxnet / FLAME Malware არაბული სახელმწიფოებიდან სენსიტიური ინფორმაციის მოპარვა 2) ACAD/MEDRE სამხრეთ ამერიკული სახელმწიფოებიდან AutoCAD-ის არქიტექტურული პროექტების ხელში ჩაგდება (ასევე აშშ. ჩინეთი. ტაივანი. ესპანეთი)
3) GhostNet ჩინური კიბერ შპიონაჟი ტიბეტის მთავრობის წინააღმდეგ 4) Operation Shady RAT ბოლო 5 წლის განმავლობაში 70+ გლობალურ კომპანიაში, ორგანიზაციებში და რამდენიმე სახელმწიფოში გამიზნული კიბერ შეღწევა, დოკუმენტაციის ხელში ჩაგდების მიზნით 5) Night Dragon გლობალურ ნავთობ, ენერგო და ფეტოქიმიურ კორპორაციებში კიბერშპიონაჟი ვირუსული კოდის გამოყენებით
5
6
2011 წლის მარტში CERT-GOV-GE აღმოაჩინა ბოტნეტის სამართავი ვებ-სერვერი ვებსერვერის, ვირუსული ფაილების და სკრიპტების ანალიზის შედეგად დადგინდა: 1. გატეხილია ქართული საინფორმაციო NEWS საიტები. (მავნე სკრიპტი ჩასმულია მხოლოდ სპეციფიური ინფორმაციის შემცველ გვერდებზე)
1. ასეთი გვერდის გახისნისას კომპიუტერი ინფიცირდება უცნობი ვირუსით (ვერც ერთი ანტივირუსული პროდუქტი ვერ აიდენტიფიცირებს მას, აღმოჩენის მომენტში) 3. ჩანერგვის შემდეგ ვირუსული ფაილი მთლიანად აკონტროლებს კომპიუტერს 4. ეძებს “სენსიტიურ სიტყვებს” დოკუმენტებში
5. აკეთებს ვიდეო და აუდიო ჩანაწერებს ჩაშენებული ვებ-კამერის მეშვეობით
7
www.ema.gov.ge - საწარმოთა მართვის სააგენტო www.open.ge - ახალი ამბების NEWS ვებ-საიტები www.opentext.ge www.presa.ge www.presage.tv www.psnews.ge www.psnews.info www.resonancedaily.com www.caucasustimes.com - საინფორმაციო საიტი კავკასიის შესახებ www.cei.ge – Caucasus Energy and Infrastructure
გატეხილი საიტები
8 www.psnews.info
9
http://ema.gov.ge
10 resonancedaily.com
11 Frame.php
დაშიფრული Shellcode PHP ფაილში
12 Frame.php
Frame.php იყენებს სხვადასხვა პროგრამულ პროდუქტში არსებულ უცნობ სისუსტეებს 1) Oracle Java ® – ობფუსცირებული jar ფაილი 2) Adobe® Reader – დაშიფრული PDF ფაილი (CERT-UK 2012 JUN)
3) Microsoft® Windows XP, 7 (ActiveX control) - 0-day CVE-2010-0842 CVE-2006-3730 MS06-057 სამიზნეა ყველა პოპულარული ბრაუზერი (IE, Chrome, Firefox, Opera)
13
• დოკუმენტებში სენსიტიური სიტყვების ძებნა • ნებისმიერი ფაილის გაგზავნა დისკიდან - სერვერის მიმართულებით • სერტიფიკატების მოპარვა • Remote Desktop Protocol RDP, pbk, VPN კონფიგურაციის ფაილების ძებნა • Screenshot-ების გადაღება • აუდიო ჩაწერა მიკროფონით • ვიდეო ჩაწერა არსებული ვებ-კემერის მეშვეობით • ქსელში არსებული სხვა კომპიუტერების სკანირება/ინფიცირება • ნებისმიერი ქსელური აქტივობის განხორციელება დაინფიცირებული კოპმიუტერიდან (DoS-ში მონაწილეობა)
ვირუსის ფუნქციები
ყველა ბრძანება ინდივიდუალურად ეგზავნება თითოეულ დაინფიცირებულ კოპმიუტერს
14
ვირუსული ფაილი სისტემატურად განიცდიდა განახლებებს: 30 მარტი, 2011 – დაემატა სერტიფიკატების მოპარვის ფუნქცია 14 სექტემბერი 2011 – შეიცვალა ინფიცირების მექანიზმი, ახალი Bypassing მექანიზმი (Antivirus/Firewall/IDS) 25 ნოემბერი 2011 – ვირუსი დაშიფრულია განსხვავებული Crypter-ით. აინფიცირებს Windows 7-ს. 12 December 2011 – დაემატა ვიდეო მონიტორინგის ფუნქცია, ასკანერებს და აინფიცირებს ქსელში განთავსებულ სხვა კომპიუტერებს, შეიცვალა გავრცელების ვექტორი .
15
Antivirus Clean, Bypasses Windows 7 sp1 patched, with Firewall As of 25.03.2011, 20.06.2011, 16.01.2012, 25.03.2012 3.1-დან 5.4 ვერსიამდე calc.exe აკეთებს შემდეგ 3 ქმედებას: - მთავარი ვირუსული ფაილის გადმოწერამდე ამოწმებს სისტემის დროით სარტყელს. UTC+3, UTC+4 Time-zone. - დადებითი პასუხის შემთხვევაში იწერს მთავარს ვირუსულ ფაილს და კომუნიკაციას ამყარებს რამდენიმე სამართავ სერვერთან (C&C) - დაშიფრულად გზავნის დაინფიცირებული კოპმიუტერის IP მისამართს, C დისკის შიგთავსის სიას და ვინჩესტერის სერიულ ნომერს, სამართავ სერვერზე
ვირუსული აქტივობა
16
2010 წლის აგვისტო - abkhaziaonline.xp3.biz 2010 წლის 13 სექტემბერი - georgiaonline.xp3.biz 2011 წლის 5 თებერვალი - ema.gov.ge (გატეხილი) 2011 წლის 30 მარტი - 178.32.91.70 (საფრანგეთი OVH Hosting) 2011 წლის 6 ინვისი - 88.198.240.123 (გერმანია, DME Hosting) 2011 წლის 17 ივლისი - 88.198.238.55 (გერმანია, DME Hosting) 2011 წლის 26 ნოემბერი 94.199.48.104 (უნგრეთი, Net23.hu) 2011 წლის 29 ნოემბერი 173.212.192.83 (აშშ, DME Hosting) 2011 წლის 2 დეკემბერი 31.31.75.63 (ჩეხეთი, Wedos Hosting) 2011 წლის 25 დეკემბერი 31.214.140.214 (გერმანია, Exetel) 2012 წლის 14 მარტი 78.46.145.24 (გერმანია, DME Hosting)
სამართავი სერვერები Command & Control
17
სამართავი სერვერების IP მისამართები ჩაწერილია ვირუსულ ფაილში
18
თუ ვერ ხერხდება სამართავ სერვერებთან დაკავშირება ვირუსული ფაილი კითხულობს პირველ ხაზს (IP მისამართს) გატეხილი ქართული სახელმწიფო საიტიდან http://ema.gov.ge
19
ვირუსის განახლების ახალი მეთოდი
ვირუსის ახალი ვერსია იწერება როგორც base64 ენკოდირებული ტექსტი ერთდროულად სხვადასხვა სამართავი სერვერიდან ნაწილებად და შემდგომ ერთდება მთლიან ფაილად
20 განახლების მექანიზმი
21
Command & Control ვებსერვერები აღმოჩენისთანავე იცვლის მდებარეობას: US, German, French, Hungary, Czech, Russian Hosting Provider
გავაანალიზეთ 6 C&C და მოვიპოვეთ წვდომა სამართავ ვებ-პანელზე (გამოვიყენეთ ე.წ. Directory Transversal Vulnerability)
სამართავი სერვერების ანალიზი
22
C&C პანელი
23
DDoS
24 Secret, Restricted, Confidential
25
ვებ-პანელების მიხედვით დაინფიცირებულია 390 კომპიუტერი 80% - საქართველო 5% - აშშ 5% - უკრაინა 4% - კანადა, საფრანგეთი 3% - გერმანია 3% - რუსეთი
სხვა ქვეყნების IP მისამართები: სავარაუდო ვიზიტორები ან დაინფიცირებული კომპიუტერის ქვეყნიდან გასვლა
Botnet
26
დაინფიცირებული ქართული კომპიუტერების უმრავლესობა ეკუთვნის ქართულ სახელმწიფო სტრუქტურებს და კრიტიკული
ინფორმაციული ინფსრასტრუქტურის ორგანიზაციებს
ასევე რამდენიმე შემთხვევაში დაინფიცირებული იყო საბანკო სექტორის, არასამთავრობო ორგანიზაციების, კერძო კომპანიის
კომპიუტერები
Botnet
27
Botnet აშშ დაინფიცირებული კომპიუტერი
28
Botnet ფრანგული IP დაინფიცირებული
29
1) სენსიტიური დოკუმენტების ძებნა pdf, word, xls, txt, rtf, ppt დოკუმენტების შიგთავსში. 2) ვებკამერიდან ვიდეოს ჩაწერა: skype ზარის დროს, live streaming
თვალყური 3) C&C Web Panel-იდან ვირუსული კოდის მოდიფიცირება 4) კერძო შექმნილი Packer, Crypter Assembler-ზე (evading A/V) TDSS Rootkit-ის ზოგიერთი მახასიათებელი
5) განახლების მექანიზმი, Base-encoded plaintext, ერთდორულად
ნაწილების გადმოწერა სხვადასხვა C&C სერვერიდან. (evading IPS/IDS) 6) ქსელური კომუნიკაცია network socket ring0 level (evading firewall)
განსაკუთრებული მახასიათებლები
30
დაგროვილ ინფორმაციაზე დაყრდნობით შემუშავდა ინციდენტზე რეაგირების გეგმა
1) შსს-სთან კოორდინირებული ქმედებებით, მოხერხდა
დაინფიცირების წყაროების გადაკეტვა: აღმოჩენისთანავე იბლოკებოდა 6 C&C სერვერის IP მისამართები ქვეყნის ძირითადი პროვაიდერების დონეზე (Fast Response) 2) ვირუსული ფაილის ღრმა ანალიზის შედეგად შემუშავდა
განეიტრალებისთვის საჭირო ტექნიკური მექანიზმები და გადაეგზავნა დაინფიცირებულ უწყებებს 3) თანამშრომლობა სხვადასხვა Antivirus, IDS/IPS მწარმოებელ
კომპანიებთან, დაცვის საშუალებების შესამუშავებლად (Microsoft, Symantec, Eset, Snort, Cisco, სხვადასხვა Blacklists, Blocklists)
გატარებული ღონისძიებები
31
4) თანამშრომლობა US-CERT, Govermental-CERT-Germany, CERT-Ukraine, CERT-Polska, Microsoft
Cybersecurity Division 5) კონტაქტი ISP, Hosting Provider - Abuse Teams С&С სერვერების გასათიშად და ელექტრონული სამხილების ამოსაღებად (log files, system images) შემდგომი Cyber-Forensic ანალიზისათვის 6) სამართალდამცავი უწყებების ქმედებები გლობალურ დონეზე FBI – Federal Bureau of Investigation US Department of Homeland Security United States Secret Service
გატარებული ღონისძიებები
32 Cyber Counter-Intelligence კიბერ შემტევების იდენტიფიცირება
Cyber CounterIntelligence – are measures to identify, penetrate, or neutralize foreign operations that use cyber
means as the primary tradecraft methodology, as well as foreign intelligence service collection efforts that use traditional methods to gauge cyber capabilities and intentions
DoD – Cyber CounterIntellignece
33 Russian Business Network 2008
34 Cyber Counter-Intelligence
CERT-GOV-GE მოიპოვა სრული წვდომა Command & Controll სერვერებზე, გაშიფრა კომუნიკაციის მექანიზმები და
გააანალიზა ვირუსული ფაილები
მიღებული ინფორმაციის საფუძველზე მოხერხდა შემტევი
პიროვნებების და ორგანიზაციების იდენტიფიკაცია
აღნიშნულ ინციდენტში, კიდევ ერთხელ გამოიკვეთა რუსი ჰაკერების და სახელმწიფო ორგანიზაციების კვალი
35 Cyber Counter-Intelligence
3 მთავარი ფაქტი, რომელიც მიუთითებს რუსულ ორგანიზაციებზე
Warynews.ru – კავშირი სამართავ სერვერთან კონფიგურაციის ფაილების მისაღებად sukimato.bin – IP და DNS servers მისამართები Russian Business Network. (Linked with Russian Ministry of Defense in 2008 by US Cyber Consequences Unit, Grey Goose) შეყვანილია სხვადასხვა Blacklist-ებში 194.186.36.167 - www.rbc.ru – ჩაწერილია პირდარპირ ვირუსულ ფაილში კომუნიკაცია მყარდება თუ მიუწვდომელია სხვა სამართავი ვებ-სერვერები (C&C) Рос Бизнес Консалтинг Legalcrf.in – იგზავნება SPAM ელექტრონული ფოსტა [email protected] - სახელით გაფორმებულია გაურკვეველ პიროვნებაზე, აღმოჩნდა ინდურ WHOIS სერვისის ჩანაწერში Person - Artur Jafuniaev Address: Lubianka 13, Moscow
36 1) WARYNEWS.RU/sukimato.bin ns1.austinclay.net
37 2) Рос Бизнес Консалтинг
39 LEGALCRF.IN
40 Lubianka 13
Лубянка, 13, Москва - Департамент тыла МВД России - организация развития и обеспечения систем связи, совершенствования информационно-телекоммуникационных технологий и технической защиты информации;
41
2011 წლის იანვარი - ESET Security - Report GEORBOT (cert-ის დახმარებით) რუსული საინფორმაციო საშუალებები აღნიშნავენ რომ ბოტნეტის კონტროლი ხდება ქართული სამთავრობო საიტიდან არაფერია ნათქვამი 6 რეალურ Command & Control სერვერზე
დეზინფორმაცია რუსულ წყაროებში ESET რეპორტზე დაყრდნობით
42
1) აღნიშნული ვირუსით დავაინფიცირეთ საკუთარი სატესტო კომპიუტერი 2) შეიქმნა დოკუმენტის არქივი ცრუ სახელწოდებით „საქართველო-ნატოს
შეთანხმება 2011“ 3) არქივს მიება შემტევის შექმნილი ვირუსული ფაილი 4) კიბერ-შემტევმა მოიპარა -გადაწერა ცრუ „სენსიტიური“ დოკუმენტი 5) შედეგად იგი თავად დაინფიცირდა საკუთარი ვირუსული ფაილით (10-15 წუთის განმავლობაში)
CERT ჯგუფმა მოიპოვა წვდომა სამართავ პანელზე
შედეგად შესაძლებელი გახდა შემტევის კოპმიუტერის სრული კონტროლი
კიბერ-შემტევის იდენტიფიცირება
43 Cyber Counter-Intelligence
კიბერ შემტევის კომპიუტერის მართვის შედეგად მოვიპოვეთ: ვიდეო მისი ვებ კამერიდან ეკრანის Screenshot-ები თუ როგორ ამატებს ახალ ფუნქციებს ვირუსულ ფაილში მიმოწერა ფორუმებზე შიფრაციის მექანიზმების შესახებ WASM, OllyDebugger დოკუმენტი რუსულ ენაზე, სადაც დეტალურად არის მითითებული ინსტრუქციები თუ როგორ ხდება აღნიშნული ვირუსის გამოყენება შემტევი დაკავშირებულია რამდენიმე რუს და გერმანელ ჰაკერთან. ინფორმაცია მისი რეალური IP-ის, პროვაიდერის, სხვადასხვა Email, ფორუმ-ის user-ის, მობილური კომპანიის, ავტომობილის შესახებ. მისი ძმა -Ментор по Кибер-Безопасности, Санкт-Петербург
44
მისი ვებკამერიდან მოპოვებული სურათები
45
მისი ეკრანის სქრინშოტი (ვირუსული ფაილები)
46
მუშაობის პროცესი (ახალი ვერსიის შექმნის პროცესი)
47
შემტევის პროვაიდერი, ქალაქი, ქვეყანა
48
მეტსახელი (Nickname)
49
მეტსახელი (Nickname) - რუსულ ჰაკერულ ფორუმებზე
50
კიბერ-შემტევის მიერ სხვადასხვა დროს გამოყენებული სახელები კომპიუტერული თამაშების დროს..
51
1) SSECI 2012 (Safety, Security and Efficiency of Critical Infrastructures) Prague, Czech Republic 30 may – 01 June 2012. (with support of ONRG – Office of Naval Research Global)
2) Symposium on Cyber Incidents and Critical Infrastructure Protection Tallinn, Estonia 18-19 June 2012
3) NATO – Science for Peace and Security (SPS) - METU - Middle East Technical University Georgian Cyber Cases for Afghan IT Specialists Ankara, Turkey 21 May - 01 Jun 2012
პრეზენტაცია წარდგენილ იქნა შემდეგ საერთაშორისო კონფერენციებზე
52
საქართველოს იუსტიციის სამინისტრო მონაცემთა გაცვლის სააგენტო
CERT-GOV-GE
თბილისი, საქართველო 0102 წმ. ნიკოლოზის/ნ. ჩხეიძის ქ. N2
Phone: +995 (32) 2 91 51 40 E-mail: [email protected]
