ESET разкри ботмрежа около Win32/Georbot, крадяща информация, в Грузия

Next story

Изследователите на лидера в проактивната информационна сигурност ESET разкриха нова ботмрежа (мрежа от заразени компютри на обикновени потребители, управлявани от неизвестен лидер) с интересни комуникационни функции. Освен всичко останало, тя се опитва да краде документи и сертификати, може да записва с аудио и видео действията на потребителя, както и да търси информация в мрежа, в която е свързан заразеният компютър. Най-интересното обаче е, че мрежата използва грузински правителствен уебсайт, за да ъпдейтва информацията за контрол и командите, които подава. Това кара анализаторите на ESET да смятат, че вирусът, който присъединява компютъри към ботмрежата - Win32/Georbot - е предназначен специално за потребителите от Грузия. Още една характерна черта на зловредния код е, че той търси конфигурационните файлове за отдалечена връзка до компютъра (или Remote Desktop Configuration Files) и позволява на хакерите да ги присвоят. Още по-притеснително е, че кодът на вируса непрекъснато еволюира, а най-пресните му модификации датират от 20 март.

Държава

Процент

Грузия

70.45%

САЩ

5.07%

Германия

3.88%

Русия

3.58%

Канада

1.49%

Украйна

1.49%

Франция

1.19%

Други

12.83%

Win32/Georbot е оборудван с механизъм за ъпгрейд, който позволява мутирането в нови версии на бота, с което да остане незабележим за защитните софтуери. Той разполага и резервен вариант на действие, в случай, че не може да се свърже с командния си сървър - в този случай софтуерът се опитва да се свърже със специална страница, която се хоства на грузински правителствен сървър. "Това не означава, че правителството на страната е замесено. Много често хората няма представа, че системите им са заразени", коментира Пиер-Марк Бюру, анализатор в ESET Security Intelligence Program. "Трябва да отбележим, че Агенцията за обмен на информация към Министерството на правосъдието на Грузия са запознати със случая и работят съвместно с ESET, както и самостоятелно", добавя той. До момента около 70% от заразените с вируса машини са в Грузия, а заразата се простира до САЩ, Германия и Русия.

Изследователите на ESET са успели да пробият защитата на вируса и да се доберат до панела му за управление, с което са се сдобили с точен брой заразени компютри, местоположението им, както и командите, които могат да бъдат изпратени до тях. Най-интересната до момента информация е списъкът с всички ключови думи, които се търсят в документите на заразените системи. Сред посочените на английски са "ministry, service, secret, agent, USA, Russia, FBI, CIA, weapon, FSB, KGB, phone, number" (министерство, служба, тайна, агент, САЩ, Русия ФБР, ЦРУ, оръжие, ФСБ, КГБ, телефон, номер).

"Функционалността на кода позволява записването на видео през уеб камерата на заразения компютър, снемането на разпечатки от екрана, както и иницииране на DDoS атаки. Тя е използвана няколко пъти", показват данните на ESET. Фактът, че кодът използва грузински сайтове, за да се ъпдейтва и разпространява, показва, че грузинците най-вероятно са основата цел на кода. От друга страна, тази атака не е от най-сложните, инициирани до момента. Според анализаторите на ESET ако атаките са били спонсорирани по някакъв начин от държавата, най-вероятно те щяха да са много по-професионални и невидими. Най-вероятната хипотеза за Win32/Georbot е, че той е дело на група кибер престъпници, които се опитват да крадат чувствителна информация, която после да препродават.

"Киберпрестъпленията стават все по-професионални и таргетирани, а все по-големи играчи стъпват в това поле на действие", обяснява Бюру. Win32/Stuxnet и Win32/Duqu са примери на технологична престъпност, която служи на определена цел, но дори и Win32/Georbot, макар и по-прост, има уникални способности и методи да стигне до информацията, преследвана от създателите му. В случая с Win32/Georbot целта е да се получи достъп до системи и специфична информация - например конфигурационните файлове за осъществяване на отдалечена връзка.