Kormányzati weboldalt fertőztek meg Grúziában?
Win32/Georbot – információlopó trójai és botnet
2012. március 22.
Az online támadások elleni proaktív védelem vezető vállataként ismert ESET szakemberei az elmúlt hetekben felfedeztek egy – egyelőre főként Grúziában terjedő, de már más országba is beszökött - “botnet”-et, amely nagyon érdekes kommunikációs képességekkel rendelkezik. Több tevékenysége mellett megpróbál dokumentumokat és tanusítványokat lopni, képes audió és videó felvételeket készíteni, valamint a helyi hálózatot is átböngészi, információkat keresve. A grúziai terjedés magyarázata, hogy – meglepő módon - egy grúziai kormányzati honlapot használ arra, hogy a parancsait frissítse, és az információkat ellenőrizze, ezért az ESET kutatói úgy gondolják, hogy a Win32/Georbot-nak elnevezett kártevő elsősorban grúziai felhasználókat céloz meg. Még egy különös ismertetője a rosszindulatú programnak, hogy “Remote Desktop Configuration Files”-ok után kutat és így lehetővé teszi a támadóknak, hogy fájlokat lophassanak, majd ezeket elküldhessék távoli számítógépekre, bármilyen beavatkozás nélkül. Ami még aggasztóbb az a vírus folyamatos fejlődése, az ESET – a március 20-áig tartó vizsgálódásai során - számos új variánst fedezett fel.
- Ez nem feltétlenül jelenti azt, hogy a grúz kormány is benne van az ügyben. Elég gyakran megesik, hogy az emberek nincsenek azzal tisztában, hogy a rendszereiket kompromittálták. - nyilatkozta Pierre-Marc Bureau, az ESET Security Intelligence Program igazgatója.
- Tudni kell, hogy a grúz igazságügyi minisztérium adatforgalmi ügynöksége (Data Exchange Agency of the Ministry of Justice of Georgia) és a nemzeti CERT teljes mértékben tisztában van a helyzettel már 2011 óta, folyamatos megfigyelést végeznek, és ennek keretében kértek szakmai segítséget az ESET-től. - tette hozzá.
Az összes fertőzött gazdagépnek a 70%-át Grúziában lokalizáltak, de találtak 12%-ot az Egyesült Államokban, Németországban és Oroszországban.
Az ESET kutatói arra is képesek voltak, hogy a botnet irányító paneljéhez hozzáférjenek, és így tiszta adatokhoz jutottak az érintett gépek számával, elhelyezkedésével kapcsolatban, valamint a vírus lehetséges parancsait is elérték. A legérdekesebb információ, amelyet az irányító panelban találtak, egy lista volt az összes kulcsszóval, amelyre a botnet rákeresett a dokumentumokban a megfertőzött rendszereken. Egyebek mellett a következő szavak szerepeltek angolul a listában: “minisztérium, szolgálat, titok, ügynök, USA, Oroszország, FBI, CIA, fegyver, FSB, KGB, telefonszám”.
- A videórögzitő funkció pár alkalommal került csak használatba, webkamera segítségével, screenshotok készítésével és DDoS támadások által. - nyilatkozta Bureau. A tény, hogy egy grúz weboldalt használ a parancsok frissítésére és az információk ellenőrzésére, valamint hogy valószínűleg ugyanezt az oldalt használta a terjeszkedésre, azt sugallja, hogy az elsődleges célpont Grúzia lehet.
Az ESET IT-biztonsági termékeit Magyarországon forgalmazó Sicontact Kft. vírus-szakértője, Béres Péter szerint:
- A Win32/Georbot-ot nagy valószínűség szerint abból a célból hozta létre egy csapat kiberbűnöző, hogy érzékeny információkat szerezzenek, amelyeket más szervezeteknek adhatnak el.
- A kiberbűnözés egyre professzionálisabbá válik és egyre nagyobb szereplőket céloz meg. A Win32/Stuxnet és a Win32/Duqu a high-tech kiberbűnözés mesterpéldányai, amelyek egy adott célt szolgálnak, de a kevésbé szofisztikált Win32/Georbot-nak is vannak egyedi képességei és módszerei arra, hogy megszerezze azt, amire létrehozták. A Win32/Georbot-nak sok különleges információja van és hozzáférése rendszerekhez – ezért keres a Remote Desktop configuration files-ok után. - erre a következtetésre jutott az ESET vezető kutatója, Righard Zwienenberg.
Képeinken az ESET szakértői: Pierre-Marc Bureau és Righard Zwienenberg.
Kapcsolódó cikkek
- ESET: Böngészőn keresztül támadnak a vírusok!
- ESET: Böngészőn keresztül támadnak a vírusok!
- Befagyott a toplista - Az ESET javasolja, hogy ellenőrizzük a DNS beállításokat
- Ledöntötték a trónról az Autorun-t
- Veszélyben a mobilok: az ESET Software vírus-előrejelzése
- Japán "biológiai" fegyver a számítógépes támadások ellen
- Példátlan módon szaporodnak az okostelefonokat támadó programok
- Tesztelték a vírusirtókat, a leggyorsabb az ESET NOD32 Antivirus 5 lett
- A Microsoft intézkedés ellenére, nyolcadik hónapja tartja magát az Autorun vírus
- Sok kárt okoznak a vírusok