Заразени ли сте от правителствен уебсайт в Грузия?

Известна като водеща компания в проактивната защита срещу онлайн атаки, експертите на ESET през последните седмици откриха „ботнет“, който досега се е разпространил главно в Грузия, но вече е избягал в други страни и има много интересни комуникационни възможности.

В допълнение към няколко дейности, той се опитва да открадне документи и сертификати, е в състояние да прави аудио и видео записи, а също така разглежда локалната мрежа за информация. Обяснението за разпространението в Грузия е, че изненадващо използва уебсайт на правителството на Грузия, за да актуализира своите команди и да провери информацията, така че изследователите на ESET смятат, че зловредният софтуер, наречен Win32 / Georbot, е насочен предимно към грузински потребители. Друга специална особеност на зловредния софтуер е, че той сканира за „Файлове за конфигуриране на отдалечен работен плот“ и по този начин позволява на хакерите да крадат файлове и след това да ги изпращат на отдалечени компютри без никаква намеса. Още по-тревожно е, че вирусът продължава да се развива и ESET откри редица нови варианти в своите разследвания до 20 март.

Win32 / Georbot разполага с най-съвременен механизъм за актуализация, който ви позволява постоянно да изтегляте нови версии на себе си, за да останете незабелязани от антивирусните програми. Освен това той използва защитен механизъм, в случай че не успее да осъществи достъп до сървъра C&C (Command-and-Control), тъй като в този случай той се свързва със специален уебсайт, разположен на сървър на грузинското правителство.
 - Това не означава непременно, че правителството на Грузия участва. Доста често хората не знаят, че техните системи са компрометирани. Каза Пиер-Марк Бюро, директор на програмата за разузнаване на сигурността на ESET. 
 - Трябва да се отбележи, че Агенцията за обмен на данни на Министерството на правосъдието на Грузия и Националният CERT са напълно наясно със ситуацията от 2011 г. насам, наблюдават постоянно и са поискали техническа помощ от ESET. Той добави. 
70% от всички заразени домакини са локализирани в Грузия, но 12% са открити в САЩ, Германия и Русия.

Изследователите на ESET също имаха достъп до контролния панел на ботнета, за да получат ясни данни за броя и местоположението на засегнатите машини, както и достъп до възможни вирусни команди. Най-интересната информация, намерена в таблото за управление, беше списък на всички ключови думи, които ботнетът търси в документите на заразените системи. Наред с други неща, в списъка на английски бяха включени следните думи: „министерство, служба, тайна, агент, САЩ, Русия, ФБР, ЦРУ, оръжие, ФСБ, КГБ, телефонен номер“.

 - Функцията за заснемане на видео е била използвана само няколко пъти, с помощта на уеб камера, правене на екранни снимки и чрез DDoS атаки. Каза Бюрото. Фактът, че използва грузински уебсайт за актуализиране на команди и проверка на информацията и че може да е използвал същата страница за разширяване, предполага, че основната цел може да бъде Грузия.

Според Péter Béres, експерт по вируси в Sicontact Kft., Който разпространява продуктите на ESET за ИТ сигурност в Унгария:
 - Win32 / Georbot най-вероятно е създаден от екип от киберпрестъпници, за да получи чувствителна информация, която може да бъде продадена на други организации.

 - Киберпрестъпността става все по-професионална и се насочва към все повече и повече участници. Win32 / Stuxnet и Win32 / Duqu са шедьоври на високотехнологичната киберпрестъпност, които служат за определена цел, но по-малко усъвършенстваният Win32 / Georbot също има уникални възможности и методи, за да получи това, за което са създадени. Win32 / Georbot има много специална информация и достъп до системи - така че потърсете конфигурационни файлове за отдалечен работен плот. - това е заключението на Ригард Цвиненберг, старши изследовател в ESET.

Източник: Съобщение за пресата