Georgia elimina al pirata informático con sede en Rusia con fotos

En una movida sin precedentes, el país de Georgia, irritado por los persistentes ataques de espionaje cibernético, publicó dos fotos de un presunto pirata informático con base en Rusia que, el Los georgianos aseguran que emprendieron una campaña persistente de meses de duración que robó información confidencial de los ministerios del gobierno georgiano, el parlamento, los bancos y las organizaciones no gubernamentales.

Cert.gov.ge Una de las dos imágenes de un presunto pirata informático ruso. La foto fue lanzada por el gobierno de Georgia.

En una de las fotos, un usuario con barba oscura mira por la pantalla de su computadora, quizás desconcertado por lo que está pasando. Minutos después, corta la conexión de su computadora, al darse cuenta de que ha sido descubierto.

Las fotos están en un informe que alega las intrusiones originadas en Rusia, que lanzó una campaña militar de cinco días en agosto de 2008 contra Georgia precedida por una ola de ataques cibernéticos.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Las fotos en cuestión fueron tomadas después de que los investigadores del Equipo de Respuesta a Emergencias Computacionales del gobierno georgiano (Cert.gov.ge) lograron atracar el usuario de la computadora para descargar lo que él pensó que era un archivo que contenía información confidencial. De hecho, contenía su propio programa secreto de espionaje. La foto policial fue tomada desde su propia cámara web.

Antecedentes

Georgia comenzó a investigar el espionaje cibernético vinculado a este hombre en marzo de 2011 después de que un archivo en una computadora perteneciente a un funcionario del gobierno fue señalado como "sospechoso" por un antivirus ruso programa llamado Dr. Web.

La investigación descubrió una operación sofisticada que plantó software malicioso en numerosos sitios web de noticias georgianos, pero solo en páginas con artículos específicos que interesarían a los tipos de personas a las que un hacker podría apuntar, dijo Giorgi Gurgenidze, un especialista en seguridad cibernética con Cert.gov.ge, que maneja incidentes de seguridad informática.

Las noticias seleccionadas para atraer víctimas tenían titulares como "visita de la delegación de la OTAN en Georgia" y "acuerdos y reuniones entre Estados Unidos y Georgia", según al informe, publicado conjuntamente con el Ministerio de Justicia de Georgia y la Agencia de Intercambio de Datos LEPL, que es parte del ministerio.

Detalles de la batalla

CERT-Georgia no dirá exactamente quién es ese abeto st computadora infectada pertenecía a. Pero lo que siguió se describe mejor como una batalla electrónica épica entre los buenos muchachos de Georgia y un pirata informático altamente calificado -o probable equipo de piratas informáticos- con sede en Rusia.

La agencia descubrió rápidamente que 300 a 400 computadoras ubicadas en agencias gubernamentales clave estaban infectadas y la transmisión de documentos confidenciales para colocar servidores controlados por la persona en cuestión. Las computadoras comprometidas formaron una botnet apodada "Georbot".

El software malicioso se programó para buscar palabras clave específicas, como EE. UU., Rusia, OTAN y CIA, en documentos y PDF de Microsoft Word, y finalmente se modificó para grabar audio y tomar capturas de pantalla. Los documentos fueron eliminados a los pocos minutos de los servidores de entrega, después de que el usuario haya copiado los archivos en su propia PC.

Georgia bloqueó las conexiones a los servidores de entrega que reciben los documentos. Las computadoras infectadas fueron limpiadas del malware. Pero a pesar de saber que su operación había sido descubierta, el usuario no se detuvo. De hecho, intensificó su juego.

En la siguiente ronda, envió una serie de correos electrónicos a funcionarios del gobierno que parecían provenir del presidente de Georgia, con la dirección "[email protected]". Esos correos electrónicos contenían un adjunto PDF malicioso, que supuestamente contenía información legal, con un exploit que entregaba malware.

Ni el exploit ni el malware fueron detectados por el software de seguridad.

Cómo funcionaban los ataques PDF

Los ataques PDF utilizaron el formato de archivo XDP, que es un archivo de datos XML que contiene una copia codificada en Base64 de un archivo PDF estándar. El método en algún momento evadió todo el software antivirus y los sistemas de detección de intrusos. Fue solo en junio de este año que el Equipo de Respuesta a Emergencias Informáticas del Reino Unido lo advirtió después de que sus agencias gubernamentales fueran atacadas. Georgia vio tales ataques más de un año antes de la advertencia.

Esa fue una de las principales pistas de que Georgia no estaba tratando con un pirata informático promedio, sino que podría haber sido parte de un equipo con sólidos conocimientos de ataques complejos., criptografía e inteligencia.

"Este tipo tenía habilidades de clase alta", dijo Gurgenidze.

A lo largo de 2011, los ataques continuaron y se volvieron más sofisticados. Los investigadores encontraron que la persona en cuestión estaba conectada con al menos otros dos hackers rusos y uno alemán. También estuvo activo en algunos foros de criptografía. Esas pistas, junto con algunas prácticas de seguridad débiles, permitieron a los investigadores acercarse a él.

Entonces, se estableció una trampa.

Los oficiales de Georgia permitieron que el usuario infectara una de sus computadoras a propósito. En esa computadora, colocaron un archivo ZIP titulado "Acuerdo de Georgia-OTAN". Mordió el anzuelo, lo que provocó que se instalara el propio programa de espionaje de los investigadores.

Desde allí, su cámara web estaba encendida, lo que dio como resultado fotos bastante claras de su rostro. Pero después de cinco a 10 minutos, la conexión se cortó, presumiblemente porque el usuario sabía que había sido pirateado. Pero en esos pocos minutos, su computadora -como las que atacó en el gobierno georgiano- fue minada por documentos.

Un documento de Microsoft Word, escrito en ruso, contenía instrucciones del manejador del hombre sobre qué objetivos infectar y cómo. Otra evidencia circunstancial que apunta a la participación de Rusia incluyó el registro de un sitio web que se utilizó para enviar correos electrónicos maliciosos. Estaba registrado en una dirección junto al Servicio de Seguridad Federal del país, anteriormente conocido como KGB, decía el informe.

"Hemos identificado agencias de seguridad rusas, una vez más", concluye.

Debido a las tensas relaciones entre Rusia y Georgia, es poco probable que el hombre de la foto, cuyo nombre no fue revelado, sea enjuiciado si vive en Rusia.