Вы заразились на правительственном веб-сайте Грузии?

Эксперты ESET, известные как ведущая компания в области проактивной защиты от сетевых атак, в последние недели обнаружили «ботнет», который до сих пор распространился в основном на Грузию, но уже перебрался в другие страны и обладает очень интересными коммуникационными возможностями.

Помимо нескольких действий, он пытается украсть документы и сертификаты, может делать аудио- и видеозаписи, а также просматривает информацию в локальной сети. Объяснение распространения в Грузии заключается в том, что, как ни странно, он использует веб-сайт правительства Грузии для обновления своих команд и проверки информации, поэтому исследователи ESET считают, что вредоносная программа под названием Win32 / Georbot нацелена в первую очередь на грузинских пользователей. Другой особенностью вредоносного ПО является то, что оно сканирует «файлы конфигурации удаленного рабочего стола» и, таким образом, позволяет злоумышленникам красть файлы, а затем отправлять их на удаленные компьютеры без какого-либо вмешательства. Еще большее беспокойство вызывает постоянная эволюция вируса, ESET обнаружила ряд новых вариантов в ходе своих исследований до 20 марта.

Win32 / Georbot имеет современный механизм обновления, который позволяет вам постоянно загружать новые версии себя, чтобы оставаться незамеченным антивирусными программами. Кроме того, он использует механизм защиты в случае невозможности доступа к серверу C&C (Command-and-Control), поскольку в этом случае он подключается к специальному веб-сайту, расположенному на сервере правительства Грузии.
 - Это не обязательно означает, что в этом замешано правительство Грузии. Довольно часто люди не подозревают, что их системы были скомпрометированы. Саид Пьер-Марк Бюро, директор программы ESET Security Intelligence. 
 - Следует отметить, что Агентство по обмену данными Министерства юстиции Грузии и Национальный CERT полностью осведомлены о ситуации с 2011 года, постоянно отслеживают и запрашивают техническую помощь у ESET. Добавил он. 
70% всех зараженных хостов были локализованы в Грузии, но 12% были обнаружены в США, Германии и России.

Исследователи ESET также смогли получить доступ к панели управления ботнета, чтобы получить четкие данные о количестве и местонахождении зараженных машин, а также доступ к возможным вирусным командам. Самая интересная информация, найденная на панели инструментов, - это список всех ключевых слов, которые ботнет искал в документах зараженных систем. Среди прочего, в список вошли слова на английском языке: «министерство, служба, секрет, агент, США, Россия, ФБР, ЦРУ, оружие, ФСБ, КГБ, номер телефона».

 - Функция захвата видео использовалась всего несколько раз с использованием веб-камеры, создания снимков экрана и DDoS-атак. Сказало бюро. Тот факт, что он использует грузинский веб-сайт для обновления команд и проверки информации и что он, возможно, использовал ту же страницу для расширения, предполагает, что основным местом назначения может быть Грузия.

По словам Петера Береша, эксперта по вирусам компании Sicontact Kft., Которая занимается распространением продуктов ESET для ИТ-безопасности в Венгрии:
 - Win32 / Georbot, скорее всего, был создан группой киберпреступников для получения конфиденциальной информации, которая может быть продана другим организациям.

 - Киберпреступность становится все более профессиональной и преследует все больше и больше участников. Win32 / Stuxnet и Win32 / Duqu - это шедевры высокотехнологичной киберпреступности, которые служат определенной цели, но менее сложные Win32 / Georbot также имеют уникальные возможности и методы, позволяющие получить то, для чего они были созданы. Win32 / Georbot имеет много специальной информации и доступа к системам, поэтому ищите файлы конфигурации удаленного рабочего стола. - таков вывод Ригхарда Цвиненберга, старшего научного сотрудника ESET.

Источник: пресс-релиз