21. březen, 2012 | Praha | Tiskové zprávy

Win32/Georbot – botnet, který útočí na Gruzínce a krade informace

Na začátku letošního roku objevili výzkumníci společnosti ESET, která se zaměřuje na ochranu před kybernetickými hrozbami, botnet (internetového robota), jenž se vyznačuje několika zajímavými vlastnostmi. Mimo jiné se pokouší krást dokumenty a certifikáty, dokáže vytvářet audio a video záznamy a prohlížet lokální sítě za účelem sběru informací. Je překvapivé, že k aktualizaci svých příkazů a kontrole informací využívá gruzínské vládní webové stránky. Analytici ESETu si proto myslí, že Win32/Georbot se zaměřuje na uživatele počítačů v Gruzii. Další neobvyklou charakteristikou tohoto škodlivého programu je to, že hledá “konfigurační soubory vzdálené plochy”, a tím umožňuje útočníkům krást tyto soubory a nahrát je na vzdálené počítače, aniž by zneužil jejich zranitelnosti. Znepokojivé je, že vývoj tohoto malware pokračuje; ESET nalezl jeho nové volně se šířící varianty ještě 20. března.

Země

Procento rozšíření

Gruzie

70,45 %

USA

5,07 %

Německo

3,88 %

Rusko

3,58 %

Kanada

1,49 %

Ukrajina

1,49 %

Francie

1,19 %

Ostatní

12,83 %

Win32/Georbot obsahuje mechanismus, který ho dokáže přeměnit na nové verze botu, aby tím unikl anti-malware scannerům. Bot také disponuje  nouzovým mechanismem pro případ, že se nemůže spojit se svým centrálním serverem, od nějž dostává příkazy. V takovém případě se připojí ke speciální webové stránce umístěné v systému hostovaném gruzínskou vládou. “To automaticky neznamená, že do celé záležitosti je zapojena gruzínská vláda. Lidé si často neuvědomují, že zrovna jejich počítačový systém je infikován,” říká Pierre-Marc Bureau, ESET Security Intelligence Program Manager. “Je třeba také upozornit, že Agentura pro výměnu dat Ministertsva spravedlnosti Gruzie a jeho národní tým pro internetovou bezpečnost věděli o této hrozbě již koncem roku 2011 a paralelně spolupracovali při monitoringu této hrozby a na její eliminaci společně s ESETem,” dodává Bureau. Ze všech infikovaných počítačů jich 70 % bylo umístěno v Gruzii, řádově mnohem méně strojů bylo nakaženo v USA, Německu a Rusku.

Výzkumníci ESETu dokázali získat přístup k ovládacímu panelu tohoto botu, a dostali se tak k detailním informacím o počtu postižených zařízení, jejich poloze a příkazech, které na tato tařízení bot posílal. Nejzajímavější informací nalezenou na ovládacím panelu byl seznam se všemi klíčovými slovy, které byly zaměřeny na dokumenty v infikovaných systémech. Mezi nimi byla například slova “ministerstvo, služby, tajemství, agent, USA, Rusko, FBI, CIA, zbraně, FSB, KGB, telefon, číslo”.

“Funkce umožňující nahrávání videa prostřednictvím webové kamery, pořizování snímků obrazovky a spuštění DDoS útoků jsme v praxi už několikrát měli možnost vidět,” říká Bureau. Fakt, že botnet využívá gruzínskou webovou stránku k aktualizaci svých příkazů, a že pravděpodobně používal stejnou stránku ke svému šíření, naznačuje, že primárně jsou ohroženi obyvatelé Gruzie. Na druhou stranu, úroveň propracovanosti této hrozby je relativně nízká. Výzkumníci ESETu mají za to, že pokud by šlo o operaci sponzorovanou nějakým státem, byla by nenápadnější. Nejpravděpodobnější hypotézou je, že Win32/Georbot vytvořila skupina kyberzločinců, kteří se snažili najít citlivé informace, aby je pak prodali dalším organizacím.

Kyberzločin je stále profesionálnější a cílenější. Win32/Stuxnet a Win32/Duqu jsou příkladem vysoké sofistikovanost hrozeb, které slouží přesně danému účelu. Ale i Win32/Georbot, ačkoli není tak sofistikovaný, disponuje unikátními a novými funkcemi a metodami, aby se dostal k tomu, co jeho tvůrci chtějí získat. V případě Win32/Georbot je účelem získat přístup k systémům a spoustě důvěrných informací,” shrnuje analytik ESETu Righard Zwienenberg.

 O společnosti ESET

Společnost ESET, která byla založena v roce 1992, je světovým poskytovatelem bezpečnostního softwaru pro firemní klientelu a domácnosti. Společnost vyvinula špičkové bezpečnostní řešení a stále si udržuje přední místo na trhu proaktivní detekce počítačových hrozeb. Softwarové řešení ESET NOD32 Antivirus drží světový rekord v počtu ocenění v testu „VB100“, který provádí magazín Virus Bulletin, a od počátku testování v roce 1998 nebyl jediný výskyt volně šířeného počítačového červa nebo viru, který by tento program nezachytil. Na řešení ESET NOD32 Antivirus, ESET Smart Security a ESET Cybersecurity for Mac spoléhají miliony uživatelů na celém světě a patří mezi nejvíce doporučovaná bezpečnostní řešení na světě.

 Společnost ESET má celosvětovou centrálu v Bratislavě (Slovensko), regionální distribuční centra jsou v San Diegu (USA), Buenos Aires (Argentina) a v Singapuru. Výzkumná centra ESET pro analýzu malware se nacházejí v Bratislavě, San Diegu, Buenos Aires, Praze (Česká republika), Krakově (Polsko), Montrealu (Kanada) a v Moskvě (Rusko), přičemž společnost ESET disponuje rozsáhlou sítí partnerů ve více než 180 zemích světa.

 

Kontakt pro média:


Tomáš Perman
PR Consultant ESET
E-mail: tomas.perman@relativepr.cz

Media Kit ke stažení

ESET Media Kit ke stažení

Firemní logo, produktová grafika i představení firmy.

Kontakt pro novináře:

Ondřej Šafář
Ondřej Šafář
PR manažer
ondrej.safar@eset.cz
tel:  +420 233 090 264
tel:  +420 702 206 705