Win32/Georbot - botnet, který využívá vládní webové stránky

22. 3. 2012 16:24    Rubrika: Tiskové zprávy

Na začátku letošního roku objevili výzkumníci společnosti ESET, která se zaměřuje na ochranu před kybernetickými hrozbami, botnet (internetového robota), jenž se vyznačuje několika zajímavými vlastnostmi. Mimo jiné se pokouší krást dokumenty a certifikáty, dokáže vytvářet audio a video záznamy a prohlížet lokální sítě za účelem sběru informací. Je překvapivé, že k aktualizaci svých příkazů a kontrole informací gruzínské vládní webové stránky. Analytici ESETu si proto myslí, že Win32/Georbot se zaměřuje na uživatele počítačů v Gruzii.

Win32/Georbot - botnet, který využívá vládní webové stránky

Další neobvyklou charakteristikou tohoto škodlivého programu je to, že hledá “konfigurační soubory vzdálené plochy”, a tím umožňuje útočníkům krást tyto soubory a nahrát je na vzdálené počítače, aniž by zneužil jejich zranitelnosti. Znepokojivé je, že vývoj tohoto malware pokračuje; ESET nalezl jeho nové volně se šířící varianty ještě 20. března.

Win32/Georbot obsahuje mechanismus, který ho dokáže přeměnit na nové verze botu, aby tím unikl anti-malware scannerům. Bot také disponuje nouzovým mechanismem pro případ, že se nemůže spojit se svým centrálním serverem, od nějž dostává příkazy. V takovém případě se připojí ke speciální webové stránce umístěné v systému hostovaném gruzínskou vládou. “To automaticky neznamená, že do celé záležitosti je zapojena gruzínská vláda. Lidé si často neuvědomují, že zrovna jejich počítačový systém je infikován,” říká Pierre-Marc Bureau, ESET Security Intelligence Program Manager. “Je třeba také upozornit, že Agentura pro výměnu dat Ministertsva spravedlnosti Gruzie a jeho národní tým pro internetovou bezpečnost věděli o této hrozbě již koncem roku 2011 a paralelně spolupracovali při monitoringu této hrozby a na její eliminaci společně s ESETem,” dodává Bureau. Ze všech infikovaných počítačů jich 70 % bylo umístěno v Gruzii, řádově mnohem méně strojů bylo nakaženo v USA, Německu a Rusku.

Výzkumníci ESETu dokázali získat přístup k ovládacímu panelu tohoto botu, a dostali se tak k detailním informacím o počtu postižených zařízení, jejich poloze a příkazech, které na tato tařízení bot posílal. Nejzajímavější informací nalezenou na ovládacím panelu byl seznam se všemi klíčovými slovy, které byly zaměřeny na dokumenty v infikovaných systémech. Mezi nimi byla například slova “ministerstvo, služby, tajemství, agent, USA, Rusko, FBI, CIA, zbraně, FSB, KGB, telefon, číslo”.

“Funkce umožňující nahrávání videa prostřednictvím webové kamery, pořizování snímků obrazovky a spuštění DDoS útoků jsme v praxi už několikrát měli možnost vidět,” říká Bureau. Fakt, že botnet využívá gruzínskou webovou stránku k aktualizaci svých příkazů, a že pravděpodobně používal stejnou stránku ke svému šíření, naznačuje, že primárně jsou ohroženi obyvatelé Gruzie. Na druhou stranu, úroveň propracovanosti této hrozby je relativně nízká. Výzkumníci ESETu mají za to, že pokud by šlo o operaci sponzorovanou nějakým státem, byla by nenápadnější. Nejpravděpodobnější hypotézou je, že Win32/Georbot vytvořila skupina kyberzločinců, kteří se snažili najít citlivé informace, aby je pak prodali dalším organizacím.

“Kyberzločin je stále profesionálnější a cílenější. Win32/Stuxnet a Win32/Duqu jsou příkladem vysoké sofistikovanost hrozeb, které slouží přesně danému účelu. Ale i Win32/Georbot, ačkoli není tak sofistikovaný, disponuje unikátními a novými funkcemi a metodami, aby se dostal k tomu, co jeho tvůrci chtějí získat. V případě Win32/Georbot je účelem získat přístup k systémům a spoustě důvěrných informací,” shrnuje analytik ESETu Righard Zwienenberg.


| Diskuse | Tiskové zprávy
Sdílej: