A grúz CERT közzétett egy érdekes tanulmányt az ország vezető hírportáljait ért támadássorozatról, melyben az elkövetők orosz titkosszolgálati kötődéseire igyekeznek bizonyítékot szolgáltatni. Ha valaki nem lenne képben a világpolitikával: a grúzok és az oroszok (és a többi környékbeli nép) nagyon nem szeretik egymást, ezért mindkét fél állításait a másikkal kapcsolatban érdemes fenntartással kezelni.

De térjünk a tárgyra: a CERT-Georgia 2011. márciusában az ország főbb hírportáljait érintő támadássorozatot észlelt. A támadások eredményeként a portálok meghatározott, általában a grúz külpolitikával foglalkozó cikkei mellé kártékony kódokat illesztettek, melyek egy addig ismeretlen, antivírusok által nem detektált kártevőt pottyantottak a látogatók gépeire. A kártevők alapvetően érzékeny információkat tartalmazó dokumentumokat kerestek és küldtek el különböző C&C szerverekre (ezek egyike egyébként a magyar Net23-nál futott), később a funkcionalitás képernyőmentési illetve helyi terjedési mechanizmusokkal is kiegészült.

A folytatáshoz érdemes megjegyezni, hogy a a CERT-Georgia riportja nem mutat egészen professzionális képet a szervezetről: az írókra ráférne egy angoltanfolyam, a képernyőképeken zavarbaejtően sok információ látszik, több állítás nincs alátámasztva, stb. De talán éppen a naív hozzáállásnak köszönhető, hogy az ügyet vizsgáló szakértők túlléptek a hagyományos nyomozati eszközök keretein, és ellentámadásba lendültek.

A grúzok megfertőztek egy tesztgépet a vizsgált malware-el, és ezen keresztül egy "érdekes dokumentumba" csomagolva elküldték a támadónak a saját kártevőjét, majd monitorozni kezdték az addig már uralmuk alatt álló C&C szervereket. A csapda működött, a CERT teljes kontrollt szerzett a támadó gépe felett, megfigyelték a kártevő fejlesztési lépéseit és még a támadó arcáról is sikerült felvételt készítenük a webkamerán keresztül.

De hogy kerül képbe az orosz titkosszolgálat? A támadó gépén orosz nyelvű e-maileket találtak, valamint több C&C hoszt a hírhedt Russian Business Network-höz tartozott. Az RBN viszont alapvetően nem kormányzati játékos, jelentős fektegazdasági szereplőként viszont a felsőbb kapcsolat egyáltalán nem lenne meglepő. A grúzok valódi ütőkártyája egy .ru végű domain, melynek WHOIS információi az orosz belügy egyik épületére mutatnak, de ez megint nem jelent semmit (lásd a NAV épületeibe bejelentett fantomcégek népes listáját), sőt talán túl "szép" is ahhoz hogy igaz legyen (miért adná meg egy hírszerző a munkahelyi címét egy domain dílernek?). Szintén némileg ellentmond az államilag támogatott akció teóriájának, hogy az eshkinkot1 nickkel működő támadó nyilvános fórumokon hagyott kérdései alapján nem egy kifejezett überhackerről van szó ("hogyan proxyzok ki egy LAN-ból", "hogyan adom hozzá a sploitomat a Metasploit-hoz"), persze lehet, hogy a fővédnökök egyszerűen kiszervezték a munkát, lásd Die Hard 4.

A támadók kilétéről, motivációjáról sokkal értékesebb információkat adhatnak a C&C-ken megfigyelt zombi-hosztok, valamint a róluk lopott információk, de ezekről a jelentés (érthető okokból) csak kevés adatot szolgáltat, így hát marad a "nem zörög a haraszt" érvelés.