DFRLab-ის მასალა
2019 წლის 28 ოქტომბერს 2000-ზე მეტმა ქართულმა სამთავრობო, არაკომერციული და კერძო ვებ-საიტები მავნე კომპიუტერული კოდის შეტევის სამიზნე გახდა. ფართომასშტაბიანი კიბერშეტევა, რომელმაც საქართველოს ყოფილი პრეზიდენტის, მიხეილ სააკაშვილის ფოტო გამოიყენა, ვებ-გვერდების ვანდალიზმის უბრალო შემთხვევაზე მეტი იყო: იგი ასევე შეიცავდა არაეფექტურად შესრულებულ მავნე კომპიუტერულ კოდს.
მარგინალური ქართული ვებ-საიტებისა და ფეისბუქ-გვერდების მტკიცების მიუხედავად, რომ სააკაშვილი თავად იდგა თავდასხმების უკან, DFRLab-მა ამის დამადასტურებელი მტკიცებულებები ვერ აღმოაჩინა.
ქართული ფეისბუქ-გვერდები და მარგინალური მედია სააკაშვილს ადანაშაულებს
კიბერშემთხვევის შემდეგ, ქართული ფეისბუქ გვერდებისა და მარგინალური ქართული და რუსული ონლაინ გამოცემების ნაწილმა მტკიცებულებების გარეშე ივარაუდეს, რომ თავდასხმა სააკაშვილის მიერ იყო მოწყობილი.
გვერდები აზიარებდნენ თავდასხმის სამიზნე საიტებზე გამოსახული სააკაშვილის ფოტოს და ამტკიცებდნენ, რომ ჰაკერული შეტევა ყოფილი პრეზიდენტის მიერ იყო ორგანიზებული და რომ ყოველგვარი მცდელობის მიუხედავად, იგი ვერ შეძლებდა საქართველოში დაბრუნებას.
DFRLab-ი აღნიშნავს, რომ ცნობილი ქართველი პოლიტიკოსის სურათის გამოყენება, განსაკუთრებით ისეთი წინააღმდეგობრივი ფიგურის, როგორიც სააკაშვილია, აჩენს ვარაუდს, რომ თავდასხმას პოლიტიკური მოტივი ჰქონდა. ეს შეიძლებოდა ყოფილიყო ქართული საზოგადოების გახლეჩვის მოტივით პოლიტიკური “დატროლვის” მცდელობა. (Zolpidem Tartrate)
მეტი, ვიდრე მთავარი გვერდის იერსახის შეცვლა (“დიფეისმენთი”)
DFRLab-მა აღმოაჩინა, რომ შეტევა არ ყოფილა მხოლოდ ვებ-გვერდის დიფეისმენთი. ჰაკერების მიერ შეშვებული მონაცემები შეიცავდა მავნე კოდს, რომელმაც, როგორც აღმოჩნდა, ვერ შეძლო იმის განხორციელება, რაც განზრახული ჰქონდა. ჰაკერებმა სცადეს სტეგანოგრაფიის სახელით ცნობილი ტექნიკის გამოყენება, რომელიც ნიშნავს საიდუმლო ინფორმაციის დაფარვას ხილულ მასალაში, ამ შემთხვევაში, სურათში. როცა კოდის შემცველი ფოტო ვებგვერდზე ჩნდება, მან შეიძლება კოდი მოქმედებაში მოიყვანოს და მნახველის კომპიუტერი დააინფიციროს.
ჰაკერულ ოპერაციაში გამოყენებული ფოტო შეიცავდა მავნე კომპიუტერული კოდის ნიშნებს, რომელიც მოთავსებული იყო სააკაშვილის ფოტოს ქვემო მარცხენა კუთხეში.
დაჰაკულ საიტებზე აღმოჩენილი მცირე გიფის ჰოსტინგი უკავშირდება საიტს brother.lviv.ua. Brother ჩინური კომპანიაა, რომელიც უკრაინული დომეინის სახელის გამოყენებით საკერავ და საბეჭდ მანქანებს ამზადებს და ყიდის. DFRLab-მა აღმოაჩინა, რომ მავნე კოდი ჩამაგრებული იყო გიფის ბმულში.
ეფეტურობისთვის მავნე კოდი ამასთანავე საჭიროებს სხვა ფაილებს, malware პროგრამის ჩათვლით, რაც საიტზე არ ყოფილა განთავსებული. პროგრამას, რომელიც მავნე კომპიუტერულ კოდთან აღმოჩნდა დაკავშირებული უნდა ემოქმედა როგორც “ნიმერიას”, რომელიც მომხმარებლის პერსონალურ ინფორმაციას აგროვებს.
კავშირი brother.Iviv.ua-სთან
DFRLab დაუკავშირდა Brother-ს, უკრაინულად დარეგისტრირებულ საიტ brother.Iviv.ua-სთან დაკავშირებულ ჩინურ კომპანიას. Brother-ის წარმომადგენელის განცხადებით, მისთვის უცნობი იყო, რომ კომპანიის ერთ-ერთი ვებ-გვერდი ჰაკერული ოპერაციების მიმღებ მექანიზმად გამოიყენებოდა. წარმომადგენელმა აღნიშნა, რომ ეს ვებ-გვერდი ძველი იყო და განახლებას აღარ განიცდიდა.
Brother-ის პასუხის მიხედვით, შესაძლებლია, ჰაკერებმა ვებ-გვერდზე წვდომა უშუალოდ ქართულ ვებ-გვერდებზე ჰაკერული თავდასხმის მიზნით მოიპოვეს, თუმცა უცნობი რჩება, რატომ შეარჩიეს თავდამსხმელებმა ჩინური მიმწოდებლის უკრაინაში დარეგისტრირებული ვებ-გვერდი და როგორ შეძლეს მათ Brother-ის საიტზე წვდომის მოპოვება.
მიუხედავად იმისა, რომ DFRLab-მა ვერ შეძლო თავდასხმის მიკუთვნება რომელიმე კონკრეტული ჯგუფისთვის, მათი თქმით, შეტევის მასშტაბი და სამიზნე არეალი ზრდის იმის ალბათობას, რომ იგი შესაძლოა სახელმწიფოს მიერ ყოფილიყო მხარდაჭერილი. ამის საპირისპიროდ, არსებობს იმის შანსიც, რომ პოლიტიკური ხასიათის ფოტოებით შენიღბული ჰქონოდათ სტანდარტული კიბერთავდასხმა, რომელიც მომხმარებლის პერსონალური ინფორმაციის მიტაცებას ისახავდა მიზნად, როგორც ეს malware პროგრამით იყო კიდეც დაგეგმილი.
