ტექნოლოგიები

FireEye: რუსეთის კიბერშეტევა საქართველოს შს და თავდაცვის სამინისტროებზე

31 ოქტომბერი, 2014 • 2222
FireEye: რუსეთის კიბერშეტევა საქართველოს შს და თავდაცვის სამინისტროებზე

“ეს ჯგუფი ჩინეთში დაფუძნებული საფრთხის შემცველი სხვა აქტორებისგან განსხვავებით, ნაკლებად არის დაინტერესებული, რომ მოიპაროს ინტელექტუალური საკუთრება ფინანსური მოგების მიღების მიზნით. იმ აქტივობების მიხედვით, რომელიც ანგარიშშია აღწერილი, ჩანს, რომ ეს არის დეველოპერებისა და ოპერატორებისგან შემდგარი გამოცდილი გუნდი, რომელიც აგროვებს სადაზვერვო ინფორმაციას თავდაცვისა და გეოპოლიტიკური საკითხების შესახებ, რომელიც მხოლოდ მთავრობისთვის იქნება სასარგებლო,“– წერია ანგარიშში.

 

ანგარიშის მიხედვით, სულ მცირე 2007 წლის შემდეგ ეს ჯგუფი კიბერ–შეტევებს სადაზვერვო ინფორმაციის მოსაპოვებლად საქართველოს, აღმოსავლეთ ევროპისა და ევროპული უსაფრთხოების ორგანიზაციების წინააღმდეგ ახორციელებდა.

 

FireEye-ს ცნობით, ვირუსის შემცველ დოკუმენტებს რუსული ენის პარამეტრებით ქმნიან, თანაც იმ სამუშაო დროის განმავლობში, რომელიც ემთხვევა რუსეთის დიდი ქალაქების სასაათო სარტყელს, მოსკოვისა და სანკტ პეტერბურგის ჩათვლით.

 

როგორც ანგარიშის ავტორები აღნიშნავენ, მათ არ აქვთ იმ შენობის ფოტოები, საიდანაც APT28 მუშაობს, არც სახელები და გვარები, არც სამთავრობო სააგენტოს სახელწოდება, თუმცა ხელთ აქვთ გრძელვადიანი, ფოკუსირებული ოპერაციით მიღებული შედეგები, რომელიც სამთავრობო სპონსორზე მიანიშნებს, კერძოდ კი – მოსკოვში განლაგებულ მთავრობაზე.

ანგარიშის მიხედვით, APT28–მ საქართველოს შინაგან საქმეთა სამინისტროზე შეტევა სულ მცირე 2–ჯერ განახორციელა. ერთ–ერთ შემთხვევაში, 2013 წელს, APT28  თავის საქმიანობას ნიღბავდა შინაგან საქმეთა სამინისტროს ერთ–ერთი ელექტრონული ფოსტის სახით. ისინი აგზავნიდნენ ვირუსის შემცველ “ექსელის” დოკუმენტს, რომელიც ქართველი მძღოლების მართვის მოწმობების ჩამონათვალს შეიცავდა. APT28 ცდილობდა, რომ ამ გზით კავშირი დაემყარებინა შსს–ს სერვერთან და განეხორციელებინა მიმოწერა შსს–ს იმეილის მისამართით, “@mia.gov.ge–ს” საშუალებით.

 

მას შემდეგ, რაც ერთხელ დაუკავშირდა ელექტრონული ფოსტის სერვერს, APT28–მ გაგზავნა იმეილი, სადაც სათაურის ველში ქართულად იყო მითითებული ინფორმაცია მართვის მოწმობების შესახებ, მიმაგრებული დოკუმენტი კი შეიცავდა სისტემური დაზვერვის ინფორმაციას. ეს ტაქტიკა ჰაკერული ჯგუფს შესაძლებლობას აძლევდა, რომ შსს–ს ქსელიდან ინფორმაცია ნაკლებად დაცული გზით მოეპოვებინა, რაც შსს-ს ქსელური უსაფრთხოების დეპარტამენტს  ტრაფიკის აღმოჩენის შესაძლებლობას უზღუდავდა.

 

მეორე შემთხვევაში, ინფორმაციის მოსაპარად APT28–მ სატყუარად გამოიყენა დოკუმენტი, სადაც ნახსენები იყო ვინდოუსის დომენი „MIA Users/Ortachala…”, ავტორად კი მითითებული იყო ბექა ნოზაძე, რომელიც, სავარაუდოდ, სისტემის ადმინისტრატორი იყო. დოკუმენტში მომხმარებლებს Windows XP–ისა და Windows 7–ისთვის მომხმარებლისა და დომენის დარეგისტრირებისთვის საჭირო ინფორმაცია ეწერა.

 

სავარაუდოდ, APT28–მ ეს დოკუმენტი სპეციალურად შექმნა იმისთვის, რომ ის შსს–ს სისტემის მომხმარებლებს ლეგიტიმურ დოკუმენტად მიეჩნიათ, სინამდვილეში კი მისი მიზანი ჩაშენებული ვირუსის დახმარებით შსს–ს სისტემის გარღვევა იყო.

 

ანგარიშის მიხედვით, შინაგან საქმეთა სამინისტროს გარდა, APT28–ს სამიზნე საქართველოს თავდაცვის სამინისტროც გახდა. ამისთვის ჰაკერული ჯგუფი იყენებდა დოკუმენტს, სადაც თავდაცვის სამინისტროსა და აშშ-ის კონტრაქტორს შორის არსებული სამუშაო ჯგუფის თანამშრომლებისთვის დაბადების დღეების ჩამონათვალი იყო, თუმცა, ამავდროულად, შეიცავდა ვირუს SOURFACE–ს გადმომწერსაც.

 

“გვჯერა, რომ თავდაცვის სამინისტროზე APT28–ის შეტევა ემთხვევა რუსეთის მიერ საფრთხის აღქმას. საქართველოსა და შტატებს შორის მზარდი სამხედრო ურთიერთობები რუსეთისთვის შფოთვის მიზეზად იქცა,”– ნათქვამია ანგარიშში.

 

APT28 შეტევას ახორციელებდა საქართველოში მომუშავე ჟურნალისტზეც, რომელიც კავკასიის საკითხების გაშუქებაზე მუშაობდა: 2013 წლის ბოლოს მათ ამისთვის გამოიყენეს წერილი ვითომდა ჟურნალ  Reason Magazine–ის კავკასიური საკითხების განყოფილების მთავარი კოორდინატორისგან, რომელიც სინამდვილეში არ არსებობს.  წერილში ჟურნალისტს გამოცემის კონტრიბუტორობა შესთავაზეს და მისგან იდეები და სხვადასხვა საიდენტიფიკაციო ინფორმაცია მოითხოვეს. ამავდროულად, მსხვერპლის სისტემაში ვირუსი SOURFACE დააყენეს.

 

ანგარიშში ნათქვამია, რომ  რუსეთი დიდი ხანია ლიდერად მოიაზრება იმ ქვეყნებს შორის, რომლებსაც რთული ქსელური ოპერაციების შესრულება შეუძლიათ.  ეს აღქმა ნაწილობრივ არსებობს 2008 წელს საქართველოზე რუსეთის სავარაუდო კიბერ–თავდასხმის გამოც, რომელიც თან ახლდა ქვეყანაში შეჭრას.

 

“ამ მოარულმა ხმებმა, რომელთაც თან მტკიცებულებები არ ახლავს, რუსეთი კიბერსფეროს მოჩვენებად გადააქცია,”– წერია FireEye-ს ანგარიშში.

დოკუმენტი, რომელიც APT28–მ შინაგან საქმეთა სამინისტროს ქსელში სატყუარად გამოიყენა
დოკუმენტი, რომელიც APT28–მ შინაგან საქმეთა სამინისტროს ქსელში სატყუარად გამოიყენა

მასალების გადაბეჭდვის წესი