3. კიბერ საფრთხეები 3
DoD DHS SANS
1) კიბერ ომი
2) კიბერ ორგანიზებული დანაშაული
3) სამხედრო აღჭურვილობის დაზიანება
4) შეტევა კრიტიკული ინფრასტრუქტურაზე
5) კიბერ შპიონაჟი
4. კიბერ შპიონაჟის მაგალითები 4
2008-2012
1) Stuxnet / FLAME Malware
არაბული სახელმწიფოებიდან სენსიტიური ინფორმაციის მოპარვა
2) ACAD/MEDRE
სამხრეთ ამერიკული სახელმწიფოებიდან AutoCAD-ის არქიტექტურული
პროექტების ხელში ჩაგდება (ასევე აშშ. ჩინეთი. ტაივანი. ესპანეთი)
3) GhostNet
ჩინური კიბერ შპიონაჟი ტიბეტის მთავრობის წინააღმდეგ
4) Operation Shady RAT
ბოლო 5 წლის განმავლობაში 70+ გლობალურ კომპანიაში, ორგანიზაციებში და
რამდენიმე სახელმწიფოში გამიზნული კიბერ შეღწევა, დოკუმენტაციის ხელში
ჩაგდების მიზნით
5) Night Dragon
გლობალურ ნავთობ, ენერგო და ფეტოქიმიურ კორპორაციებში კიბერშპიონაჟი
ვირუსული კოდის გამოყენებით
6. 6
2011 წლის მარტში CERT-GOV-GE აღმოაჩინა ბოტნეტის სამართავი ვებ-სერვერი
ვებსერვერის, ვირუსული ფაილების და სკრიპტების ანალიზის შედეგად დადგინდა:
1. გატეხილია ქართული საინფორმაციო NEWS საიტები.
(მავნე სკრიპტი ჩასმულია მხოლოდ სპეციფიური ინფორმაციის შემცველ გვერდებზე)
1. ასეთი გვერდის გახისნისას კომპიუტერი ინფიცირდება უცნობი ვირუსით
(ვერც ერთი ანტივირუსული პროდუქტი ვერ აიდენტიფიცირებს მას, აღმოჩენის მომენტში)
3. ჩანერგვის შემდეგ ვირუსული ფაილი მთლიანად აკონტროლებს კომპიუტერს
4. ეძებს “სენსიტიურ სიტყვებს” დოკუმენტებში
5. აკეთებს ვიდეო და აუდიო ჩანაწერებს ჩაშენებული ვებ-კამერის მეშვეობით
7. 7
გატეხილი საიტები
www.ema.gov.ge - საწარმოთა მართვის სააგენტო
www.open.ge - ახალი ამბების NEWS ვებ-საიტები
www.opentext.ge
www.presa.ge
www.presage.tv
www.psnews.ge
www.psnews.info
www.resonancedaily.com
www.caucasustimes.com - საინფორმაციო საიტი კავკასიის შესახებ
www.cei.ge – Caucasus Energy and Infrastructure
12. Frame.php 12
Frame.php
იყენებს სხვადასხვა პროგრამულ პროდუქტში არსებულ უცნობ სისუსტეებს
1) Oracle Java ® – ობფუსცირებული jar ფაილი
2) Adobe® Reader – დაშიფრული PDF ფაილი (CERT-UK 2012 JUN)
3) Microsoft® Windows XP, 7 (ActiveX control) - 0-day
CVE-2010-0842 CVE-2006-3730 MS06-057
სამიზნეა ყველა პოპულარული ბრაუზერი (IE, Chrome, Firefox, Opera)
13. ვირუსის ფუნქციები 13
• დოკუმენტებში სენსიტიური სიტყვების ძებნა
• ნებისმიერი ფაილის გაგზავნა დისკიდან - სერვერის მიმართულებით
• სერტიფიკატების მოპარვა
• Remote Desktop Protocol RDP, pbk, VPN კონფიგურაციის ფაილების ძებნა
• Screenshot-ების გადაღება
• აუდიო ჩაწერა მიკროფონით
• ვიდეო ჩაწერა არსებული ვებ-კემერის მეშვეობით
• ქსელში არსებული სხვა კომპიუტერების სკანირება/ინფიცირება
• ნებისმიერი ქსელური აქტივობის განხორციელება დაინფიცირებული
კოპმიუტერიდან (DoS-ში მონაწილეობა)
ყველა ბრძანება ინდივიდუალურად ეგზავნება თითოეულ
დაინფიცირებულ კოპმიუტერს
14. 14
ვირუსული ფაილი სისტემატურად განიცდიდა განახლებებს:
30 მარტი, 2011 – დაემატა სერტიფიკატების მოპარვის ფუნქცია
14 სექტემბერი 2011 – შეიცვალა ინფიცირების მექანიზმი, ახალი Bypassing
მექანიზმი (Antivirus/Firewall/IDS)
25 ნოემბერი 2011 – ვირუსი დაშიფრულია განსხვავებული Crypter-ით.
აინფიცირებს Windows 7-ს.
12 December 2011 – დაემატა ვიდეო მონიტორინგის ფუნქცია,
ასკანერებს და აინფიცირებს ქსელში განთავსებულ სხვა კომპიუტერებს,
შეიცვალა გავრცელების ვექტორი
.
15. ვირუსული აქტივობა 15
Antivirus Clean, Bypasses Windows 7 sp1 patched, with Firewall
As of 25.03.2011, 20.06.2011, 16.01.2012, 25.03.2012
3.1-დან 5.4 ვერსიამდე
calc.exe აკეთებს შემდეგ 3 ქმედებას:
- მთავარი ვირუსული ფაილის გადმოწერამდე ამოწმებს სისტემის დროით
სარტყელს.
UTC+3, UTC+4 Time-zone.
- დადებითი პასუხის შემთხვევაში იწერს მთავარს ვირუსულ ფაილს და
კომუნიკაციას ამყარებს რამდენიმე სამართავ სერვერთან (C&C)
- დაშიფრულად გზავნის დაინფიცირებული კოპმიუტერის IP მისამართს, C
დისკის შიგთავსის სიას და ვინჩესტერის სერიულ ნომერს, სამართავ სერვერზე
16. სამართავი სერვერები 16
Command & Control
2010 წლის აგვისტო - abkhaziaonline.xp3.biz
2010 წლის 13 სექტემბერი - georgiaonline.xp3.biz
2011 წლის 5 თებერვალი - ema.gov.ge (გატეხილი)
2011 წლის 30 მარტი - 178.32.91.70 (საფრანგეთი OVH Hosting)
2011 წლის 6 ინვისი - 88.198.240.123 (გერმანია, DME Hosting)
2011 წლის 17 ივლისი - 88.198.238.55 (გერმანია, DME Hosting)
2011 წლის 26 ნოემბერი 94.199.48.104 (უნგრეთი, Net23.hu)
2011 წლის 29 ნოემბერი 173.212.192.83 (აშშ, DME Hosting)
2011 წლის 2 დეკემბერი 31.31.75.63 (ჩეხეთი, Wedos Hosting)
2011 წლის 25 დეკემბერი 31.214.140.214 (გერმანია, Exetel)
2012 წლის 14 მარტი 78.46.145.24 (გერმანია, DME Hosting)
18. 18
თუ ვერ ხერხდება სამართავ სერვერებთან დაკავშირება
ვირუსული ფაილი კითხულობს პირველ ხაზს (IP მისამართს)
გატეხილი ქართული სახელმწიფო საიტიდან http://ema.gov.ge
19. 19
ვირუსის განახლების ახალი მეთოდი
ვირუსის ახალი ვერსია იწერება როგორც base64 ენკოდირებული ტექსტი
ერთდროულად სხვადასხვა სამართავი სერვერიდან
ნაწილებად და შემდგომ ერთდება მთლიან ფაილად
25. Botnet 25
ვებ-პანელების მიხედვით დაინფიცირებულია 390 კომპიუტერი
80% - საქართველო
5% - აშშ
5% - უკრაინა
4% - კანადა, საფრანგეთი
3% - გერმანია
3% - რუსეთი
სხვა ქვეყნების IP მისამართები:
სავარაუდო ვიზიტორები ან დაინფიცირებული კომპიუტერის ქვეყნიდან გასვლა
26. Botnet 26
დაინფიცირებული ქართული კომპიუტერების უმრავლესობა
ეკუთვნის ქართულ სახელმწიფო სტრუქტურებს და კრიტიკული
ინფორმაციული ინფსრასტრუქტურის ორგანიზაციებს
ასევე რამდენიმე შემთხვევაში დაინფიცირებული იყო საბანკო
სექტორის, არასამთავრობო ორგანიზაციების, კერძო კომპანიის
კომპიუტერები
29. განსაკუთრებული მახასიათებლები 29
1) სენსიტიური დოკუმენტების ძებნა pdf, word, xls, txt, rtf, ppt
დოკუმენტების შიგთავსში.
2) ვებკამერიდან ვიდეოს ჩაწერა: skype ზარის დროს, live streaming
თვალყური
3) C&C Web Panel-იდან ვირუსული კოდის მოდიფიცირება
4) კერძო შექმნილი Packer, Crypter Assembler-ზე (evading A/V)
TDSS Rootkit-ის ზოგიერთი მახასიათებელი
5) განახლების მექანიზმი, Base-encoded plaintext, ერთდორულად
ნაწილების გადმოწერა სხვადასხვა C&C სერვერიდან. (evading IPS/IDS)
6) ქსელური კომუნიკაცია network socket ring0 level (evading firewall)
30. გატარებული ღონისძიებები 30
დაგროვილ ინფორმაციაზე დაყრდნობით შემუშავდა
ინციდენტზე რეაგირების გეგმა
1) შსს-სთან კოორდინირებული ქმედებებით, მოხერხდა
დაინფიცირების წყაროების გადაკეტვა:
აღმოჩენისთანავე იბლოკებოდა 6 C&C სერვერის IP მისამართები
ქვეყნის ძირითადი პროვაიდერების დონეზე (Fast Response)
2) ვირუსული ფაილის ღრმა ანალიზის შედეგად შემუშავდა
განეიტრალებისთვის საჭირო ტექნიკური მექანიზმები და
გადაეგზავნა დაინფიცირებულ უწყებებს
3) თანამშრომლობა სხვადასხვა Antivirus, IDS/IPS მწარმოებელ
კომპანიებთან, დაცვის საშუალებების შესამუშავებლად
(Microsoft, Symantec, Eset, Snort, Cisco, სხვადასხვა Blacklists, Blocklists)
31. გატარებული ღონისძიებები 31
4) თანამშრომლობა
US-CERT, Govermental-CERT-Germany, CERT-Ukraine, CERT-Polska, Microsoft
Cybersecurity Division
5) კონტაქტი ISP, Hosting Provider - Abuse Teams
С&С სერვერების გასათიშად და ელექტრონული სამხილების ამოსაღებად
(log files, system images) შემდგომი Cyber-Forensic ანალიზისათვის
6) სამართალდამცავი უწყებების ქმედებები გლობალურ დონეზე
FBI – Federal Bureau of Investigation
US Department of Homeland Security
United States Secret Service
32. 32
Cyber Counter-Intelligence
კიბერ შემტევების იდენტიფიცირება
Cyber CounterIntelligence –
are measures to identify, penetrate, or neutralize foreign operations that use cyber
means as the primary tradecraft methodology, as well as foreign intelligence service
collection efforts that use traditional methods to gauge cyber capabilities and
intentions
DoD – Cyber CounterIntellignece
34. 34
Cyber Counter-Intelligence
CERT-GOV-GE მოიპოვა სრული წვდომა Command & Controll
სერვერებზე, გაშიფრა კომუნიკაციის მექანიზმები და
გააანალიზა ვირუსული ფაილები
მიღებული ინფორმაციის საფუძველზე მოხერხდა შემტევი
პიროვნებების და ორგანიზაციების იდენტიფიკაცია
აღნიშნულ ინციდენტში, კიდევ ერთხელ გამოიკვეთა რუსი ჰაკერების
და სახელმწიფო ორგანიზაციების კვალი
35. 35
Cyber Counter-Intelligence
3 მთავარი ფაქტი, რომელიც მიუთითებს რუსულ ორგანიზაციებზე
Warynews.ru – კავშირი სამართავ სერვერთან კონფიგურაციის ფაილების მისაღებად sukimato.bin –
IP და DNS servers მისამართები Russian Business Network. (Linked with Russian Ministry of Defense in 2008 by US
Cyber Consequences Unit, Grey Goose) შეყვანილია სხვადასხვა Blacklist-ებში
194.186.36.167 - www.rbc.ru – ჩაწერილია პირდარპირ ვირუსულ ფაილში
კომუნიკაცია მყარდება თუ მიუწვდომელია სხვა სამართავი ვებ-სერვერები (C&C) Рос Бизнес Консалтинг
Legalcrf.in – იგზავნება SPAM ელექტრონული ფოსტა admin@President.gov.ge - სახელით
გაფორმებულია გაურკვეველ პიროვნებაზე, აღმოჩნდა ინდურ WHOIS სერვისის ჩანაწერში
Person - Artur Jafuniaev
Address: Lubianka 13, Moscow
40. 40
Lubianka 13
Лубянка, 13, Москва - Департамент тыла МВД России
- организация развития и обеспечения систем связи, совершенствования
информационно-телекоммуникационных технологий и технической защиты информации;
41. 41
დეზინფორმაცია რუსულ წყაროებში
ESET რეპორტზე დაყრდნობით
2011 წლის იანვარი - ESET Security - Report GEORBOT (cert-ის დახმარებით)
რუსული საინფორმაციო საშუალებები აღნიშნავენ რომ
ბოტნეტის კონტროლი ხდება ქართული სამთავრობო საიტიდან
არაფერია ნათქვამი 6 რეალურ Command & Control სერვერზე
42. 42
კიბერ-შემტევის იდენტიფიცირება
1) აღნიშნული ვირუსით დავაინფიცირეთ საკუთარი სატესტო კომპიუტერი
2) შეიქმნა დოკუმენტის არქივი ცრუ სახელწოდებით „საქართველო-ნატოს
შეთანხმება 2011“
3) არქივს მიება შემტევის შექმნილი ვირუსული ფაილი
4) კიბერ-შემტევმა მოიპარა -გადაწერა ცრუ „სენსიტიური“ დოკუმენტი
5) შედეგად იგი თავად დაინფიცირდა საკუთარი ვირუსული ფაილით
(10-15 წუთის განმავლობაში)
CERT ჯგუფმა მოიპოვა წვდომა სამართავ პანელზე
შედეგად შესაძლებელი გახდა შემტევის კოპმიუტერის სრული კონტროლი
43. 43
Cyber Counter-Intelligence
კიბერ შემტევის კომპიუტერის მართვის შედეგად მოვიპოვეთ:
ვიდეო მისი ვებ კამერიდან
ეკრანის Screenshot-ები
თუ როგორ ამატებს ახალ ფუნქციებს ვირუსულ ფაილში
მიმოწერა ფორუმებზე შიფრაციის მექანიზმების შესახებ WASM, OllyDebugger
დოკუმენტი რუსულ ენაზე, სადაც დეტალურად არის მითითებული ინსტრუქციები
თუ როგორ ხდება აღნიშნული ვირუსის გამოყენება
შემტევი დაკავშირებულია რამდენიმე რუს და გერმანელ ჰაკერთან.
ინფორმაცია მისი რეალური IP-ის, პროვაიდერის, სხვადასხვა Email, ფორუმ-ის user-ის,
მობილური კომპანიის, ავტომობილის შესახებ.
მისი ძმა -Ментор по Кибер-Безопасности, Санкт-Петербург
51. 51
პრეზენტაცია წარდგენილ იქნა შემდეგ საერთაშორისო კონფერენციებზე
1) SSECI 2012 (Safety, Security and Efficiency of Critical Infrastructures)
Prague, Czech Republic 30 may – 01 June 2012.
(with support of ONRG – Office of Naval Research Global)
2) Symposium on Cyber Incidents and Critical Infrastructure Protection
Tallinn, Estonia 18-19 June 2012
3) NATO – Science for Peace and Security (SPS) -
METU - Middle East Technical University
Georgian Cyber Cases for Afghan IT Specialists
Ankara, Turkey 21 May - 01 Jun 2012
52. საქართველოს იუსტიციის სამინისტრო
მონაცემთა გაცვლის სააგენტო
CERT-GOV-GE
თბილისი, საქართველო 0102
წმ. ნიკოლოზის/ნ. ჩხეიძის ქ. N2
Phone: +995 (32) 2 91 51 40
E-mail: certteam@dea.gov.ge
52