Win32/Georbot - botnet, který využívá vládní webové stránky

22. 3. 2012 16:24    Rubrika: Tiskové zprávy

Na začátku letošního roku objevili výzkumníci společnosti ESET, která se zaměřuje na ochranu před kybernetickými hrozbami, botnet (internetového robota), jenž se vyznačuje několika zajímavými vlastnostmi. Mimo jiné se pokouší krást dokumenty a certifikáty, dokáže vytvářet audio a video záznamy a prohlížet lokální sítě za účelem sběru informací. Je překvapivé, že k aktualizaci svých příkazů a kontrole informací gruzínské vládní webové stránky. Analytici ESETu si proto myslí, že Win32/Georbot se zaměřuje na uživatele počítačů v Gruzii.

Win32/Georbot - botnet, který využívá vládní webové stránky

Další neobvyklou charakteristikou tohoto škodlivého programu je to, že hledá “konfigurační soubory vzdálené plochy”, a tím umožňuje útočníkům krást tyto soubory a nahrát je na vzdálené počítače, aniž by zneužil jejich zranitelnosti. Znepokojivé je, že vývoj tohoto malware pokračuje; ESET nalezl jeho nové volně se šířící varianty ještě 20. března.

Win32/Georbot obsahuje mechanismus, který ho dokáže přeměnit na nové verze botu, aby tím unikl anti-malware scannerům. Bot také disponuje nouzovým mechanismem pro případ, že se nemůže spojit se svým centrálním serverem, od nějž dostává příkazy. V takovém případě se připojí ke speciální webové stránce umístěné v systému hostovaném gruzínskou vládou. “To automaticky neznamená, že do celé záležitosti je zapojena gruzínská vláda. Lidé si často neuvědomují, že zrovna jejich počítačový systém je infikován,” říká Pierre-Marc Bureau, ESET Security Intelligence Program Manager. “Je třeba také upozornit, že Agentura pro výměnu dat Ministertsva spravedlnosti Gruzie a jeho národní tým pro internetovou bezpečnost věděli o této hrozbě již koncem roku 2011 a paralelně spolupracovali při monitoringu této hrozby a na její eliminaci společně s ESETem,” dodává Bureau. Ze všech infikovaných počítačů jich 70 % bylo umístěno v Gruzii, řádově mnohem méně strojů bylo nakaženo v USA, Německu a Rusku.

Výzkumníci ESETu dokázali získat přístup k ovládacímu panelu tohoto botu, a dostali se tak k detailním informacím o počtu postižených zařízení, jejich poloze a příkazech, které na tato tařízení bot posílal. Nejzajímavější informací nalezenou na ovládacím panelu byl seznam se všemi klíčovými slovy, které byly zaměřeny na dokumenty v infikovaných systémech. Mezi nimi byla například slova “ministerstvo, služby, tajemství, agent, USA, Rusko, FBI, CIA, zbraně, FSB, KGB, telefon, číslo”.

“Funkce umožňující nahrávání videa prostřednictvím webové kamery, pořizování snímků obrazovky a spuštění DDoS útoků jsme v praxi už několikrát měli možnost vidět,” říká Bureau. Fakt, že botnet využívá gruzínskou webovou stránku k aktualizaci svých příkazů, a že pravděpodobně používal stejnou stránku ke svému šíření, naznačuje, že primárně jsou ohroženi obyvatelé Gruzie. Na druhou stranu, úroveň propracovanosti této hrozby je relativně nízká. Výzkumníci ESETu mají za to, že pokud by šlo o operaci sponzorovanou nějakým státem, byla by nenápadnější. Nejpravděpodobnější hypotézou je, že Win32/Georbot vytvořila skupina kyberzločinců, kteří se snažili najít citlivé informace, aby je pak prodali dalším organizacím.

“Kyberzločin je stále profesionálnější a cílenější. Win32/Stuxnet a Win32/Duqu jsou příkladem vysoké sofistikovanost hrozeb, které slouží přesně danému účelu. Ale i Win32/Georbot, ačkoli není tak sofistikovaný, disponuje unikátními a novými funkcemi a metodami, aby se dostal k tomu, co jeho tvůrci chtějí získat. V případě Win32/Georbot je účelem získat přístup k systémům a spoustě důvěrných informací,” shrnuje analytik ESETu Righard Zwienenberg.

Pierre Marc Burreau
Tiskové zprávy
Diskuse

Recenze
Acer Predator Helios 16 (PH16-71) - 16'' plnokrevná herní mašina v elegantním provedení
Acer Predator Helios 16 (PH16-71) - 16'' plnokrevná herní mašina v elegantním provedení
DELL Inspiron 14 Plus 7420 - 14'' pro práci i zábavu, s RTX grafikou, elegantně v kovu
DELL Inspiron 14 Plus 7420 - 14'' pro práci i zábavu, s RTX grafikou, elegantně v kovu
MSI Titan GT77 HX 13V - 17.3'' s nejnovějším procesorem Intel Core i9 a grafikou RTX 4090
MSI Titan GT77 HX 13V - 17.3'' s nejnovějším procesorem Intel Core i9 a grafikou RTX 4090

Představení
Acer Swift Go - notebooky s umělou inteligencí a procesory Intel Core Ultra
Acer Swift Go - notebooky s umělou inteligencí a procesory Intel Core Ultra
HP Spectre x360 (2024) - konvertibilní notebook s důrazem na personalizaci
HP Spectre x360 (2024) - konvertibilní notebook s důrazem na personalizaci
Acer Predator Helios Neo 14 a Nitro 16 - herní notebooky s Intel Core Ultra a NVIDIA GeForce RTX 40
Acer Predator Helios Neo 14 a Nitro 16 - herní notebooky s Intel Core Ultra a NVIDIA GeForce RTX 40

Příslušenství
D-Link Wi-Fi 6 Smart Mesh routeru AQUILA PRO AI AX3000 (M30) s umělou inteligencí
D-Link Wi-Fi 6 Smart Mesh routeru AQUILA PRO AI AX3000 (M30) s umělou inteligencí
USBKill V4 - elektrická destrukce zařízení, včetně dat
USBKill V4 - elektrická destrukce zařízení, včetně dat
Acer ve spolupráci se společností Qualcomm uvádí routery obsahující herní 5G Wi-Fi 7 CPE
Acer ve spolupráci se společností Qualcomm uvádí routery obsahující herní 5G Wi-Fi 7 CPE

Technologie
Acer rozšiřuje sadu nástrojů pro SpatialLabs, 3D obraz bez brýlí
Acer rozšiřuje sadu nástrojů pro SpatialLabs, 3D obraz bez brýlí
Vodní chlazení SSD, patentované řešení od ADATA
Vodní chlazení SSD, patentované řešení od ADATA
ESET a Intel TDT chrání firemní zařízení před ransomwarem
ESET a Intel TDT chrání firemní zařízení před ransomwarem