格鲁吉亚计算机紧急响应小组(CERT)公布了27页的英文报告,披露了俄罗斯黑客对格鲁吉亚发动的网络攻击,使用的恶意程序,恶意程序如何扩散等细节,最令人称奇的是它发布了用摄像头拍摄的俄黑客照片。整件事中最值得警惕的是我们的计算机能变成强大的监控设备。
黑客首先入侵了多个格鲁吉亚新闻网站,在北约、格鲁吉亚和美格关系等主题相关新闻页面植入脚本,访问这些页面的人会自动执行恶意程序下载工具 TrojanDownloader:JS/SetSlice,在用户不知情下执行calc.exe。calc.exe不会启动计算器程序,而是扫描计算机是否处于UTC+3或UTC+4时区(即东欧到俄罗斯),恶意程序只会安装在位于上述时区的计算机上。
Calc.exe会植入explorer.exe并创建文件usbserv.exe,将文件名写入注册表使其能自动运行。之后Usbserv.exe会在后台扫描所有Word、PDF、Excel、文本、富文本格式、PowerPoint文档,搜索NATO、FBI、CIA、俄罗斯、格鲁吉亚、KGB、电话号码等关键词,相关文档会被上传到远程命令控制服务器。在一年多时间内,恶意程序只感染了390台电脑,绝大多数属于格鲁吉亚政府机构、议会和银行。CERT在2011年3月首次注意到该恶意程序,在了解恶意程序工作原理之后,它联系主要ISP屏蔽命令控制服务器IP地址。恶意程序作者随后调整了程序绕过屏蔽,到了11月,恶意程序已被深层加密,并能感染Windows 7;到了12月,它甚至能屏幕录像,打开摄像头和麦克风,在内网中传播。
CERT后来与FBI、微软等合作识别所有感染计算机,通知用户,联络命令控制服务器托管商关闭相关服务器。为了找出幕后攻击者,CERT利用其实验室中的一台感染恶意程序的计算机,创建了文件名Georgian-NATO agreement的压缩文档,该文档实际上是病毒(CERT没有披露病毒细节)。不久以后,文件被上传到了位于俄罗斯境内的一台命令控制服务器。黑客打开文档以鉴别真伪,病毒随后感染了他的计算机,让CERT能直接访问计算机。该病毒也能进行屏幕录像,启动摄像头拍摄照片。在监视过程中,CERT发现这位俄罗斯黑客正在为恶意程序开发新的模块。
