21. marec, 2012 | Bratislava

ESET objavil na mieru šitého trójskeho koňa, ktorý špehuje Gruzíncov

Výskumníci bezpečnostnej firmy ESET, lídra v proaktívnej ochrane pred počítačovými hrozbami, objavili začiatkom roka botnet Win32/Georbot, ktorý sa zameral na obyvateľov Gruzínska. Jeho cieľom je okrem iného na základe kľúčových slov prehľadávať textové dokumenty nakazeného počítača.
Ide o kľúčové slová v angličtine, väčšinou ide o výrazy z prostredia armády alebo spravodajských služieb (kľúčové slová boli zadané vrátane niekoľkých preklepov):


[ministr,service,secret,top,agent,contact,army,USA,Russia,
Georgia,major,colonel,FBI,CIA,phone,number,east,program]

[ministr service secret Russia Geo Euro weapon USA Americ
top colonel major serg soldie contact telephoneCauca FBI
CIA FSB KGB army name surname important]

[ministry,secret,plan,scheme,fsb,fbi,cia,kgb,captain,colonel,
leutenant,plan,phone,contact,number,russia,georgia,usa,europe,
major,general,top,interest,photo,build,sphere]


Škodlivý kód v nakazenom počítači bol schopný zaslať akýkoľvek dokument na vzdialený server, prehľadávať dokumenty Microsoft Word, nahrávať audio a video prostredníctvom mikrofónu a kamery počítača, robiť screenshoty obrazovky, vykonávať ľubovoľné príkazy v nakazenom systéme, odcudziť certifikáty a heslá uložené  v prehliadačoch a odcudziť históriu prehliadania webových stránok.


Znepokojujúce je, že sa táto hrozba neustále vyvíja. ESET objavil nové varianty tohto botnetu 20. marca. Win32/Georbot má mechanizmus na aktualizáciu samého seba. Škodlivý kód sa tým pokúša skrývať pred antivírusovými programami. Produkty ESETu tento škodlivý kód detekujú ako Win32/Spy.Georbot. Niektoré varianty tohto botnetu boli nastavené na infikovanie počítačov výhradne v časovej zóne UTC+3 a UTC+4.


So sieťou nakazených počítačov (botnetom) komunikovalo niekoľko C&C serverov, ktoré botnet riadili a dávali mu príkazy. Nachádzali sa napríklad v Českej republike, Nemecku a USA.  V prípade, že sa infikovaný počítač nedokázal k takémuto serveru pripojiť, spojil sa so stránkou, ktorá bola hosťovaná na doméne gruzínskej vlády. Dokument z tejto stránky mu potom prezradil IP adresu najaktuálnejšieho C&C servera. Toto je jeden z dôvodov, prečo si výskumníci ESETu myslia, že sa botnet zameral na obyvateľov Gruzínska.


Časové pásmo na ktoré sa zameral Win32/Georbot.

Časové pásmo na ktoré sa zameral Win32/Georbot



„Automaticky to neznamená, že v tom má prsty gruzínska vláda. Dosť často ľudia netušia, že ich systém je zneužitý,“ hovorí výskumník ESETu Pierre-Marc Bureau. „Tiež by som mal poznamenať, že Agentúra pre výmenu informácií gruzínskeho ministerstva spravodlivosti a taktiež národný CERT (Computer Emergency Response Team) o tejto udalosti vedeli od začiatku roku 2011 a v tejto veci s ESETom spolupracovali. Tak isto paralelne prebieha ich vlastný monitoring situácie,“ dodáva Bureau.

Infikované počítače


Výskumníkom ESETu sa podarilo získať prístup ku kontrolnému
panelu tohto botnetu. Zo všetkých infikovaných počítačov bolo 70% lokalizovaných v Gruzínsku. Kontrolný panel označil šesť počítačov
ako „zaujímavé“. Tri sa nachádzali v Gruzínsku, zvyšné v Rusku,
Švédsku a v Číne.

Kontrolný panel obsahoval tiež históriu príkazov, ktoré posielal nakazeným počítačom. „Funkcia nahrávania audia, videa, zasielania screenshotov a zahájenia DDoS útoku bola využitá len niekoľkokrát,“
hovorí Bureau. Najčastejšie musel infikovaný počítač vyhľadávať súbory na základe kľúčových slov, zasielať ich na server a skenovať sieť.

Kontrolný panel

 

 

 

 

Miera dômyselnosti tejto hrozby veľká nie je. Výskumníci ESETu si myslia, že ak by celú akciu sponzorovala konkrétna krajina, bola by prevedená oveľa profesionálnejšie. Najpravdepodobnejšou hypotézou je, že Win32/Georbot bol vyrobený skupinou kyberkriminálnikov, ktorí sa pokúšajú zbierať citlivé údaje a následne ich predať iným organizáciám.


„Kyberkriminalita sa stáva viac profesionálnejšou a cielenejšou. Útoky ako Stuxnet a Duqu sú príkladmi hi-tech kyberkriminality a slúžili konkrétnemu účelu, avšak aj menej sofistikovaný Georbot má unikátne (nové) funkcie
a metódy dostať sa k zdroju toho, čo jeho tvorcovia hľadajú. Cieľom Win32/Georbot je získať prístup k systémom
a množstvu špecifických informácií“
uzatvára výskumník ESETu Righard Zwienenberg.

Kompletná analýza Win32/Georbot

 

 


 

O spoločnosti ESET– už 20 rokov chránime vaše digitálne svety

Spoločnosť ESET, ktorá tento rok oslavuje 20. výročie svojho založenia, je svetovým výrobcom bezpečnostného softvéru pre firemnú klientelu a domácnosti. Je lídrom na trhu proaktívnej detekcie počítačových hrozieb.
Vďaka technológii Live Grid® využíva ESET dáta od dobrovoľných používateľov z celého sveta, a tak okamžite reaguje na nové hrozby. ESET NOD32 Antivirus drží rekord v ocenení VB100  testu britského Virus Bulletin, vysoko-rešpektovanej nezávislej testovacej organizácie.

ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; San Diegu, USA; Buenos Aires, Argentína a Singapure. Výskumné centrá ESET pre analýzu malware sú okrem Bratislavy, aj v San Diegu, v Prahe, poľskom Krakove, kanadskom Montreale a v Moskve. ESET má zastúpenie vo viac ako 180 krajinách sveta.

Firma už desať rokov za sebou patrí podľa rebríčka Deloitte Technology Fast 500 EMEA medzi najrýchlejšie rastúce technologické spoločnosti v regióne Európy, Blízkeho východu a Afriky. Týždenník Trend ocenil ESET trikrát za sebou titulom Firma roka.