Компания ESET — лидер в области разработки антивирусного программного обеспечения — сообщает о вспышке новой угрозы Win32/Georbot. Основными видами вредоносной деятельности данного трояна является кража документов MS Word и цифровых сертификатов, создание аудио- и видеозаписей при помощи микрофона и веб-камеры, а также просмотр информации в локальной сети. Кроме этого, Win32/Georbot осуществляет поиск на инфицированном компьютере файлов конфигурации RDP (Remote Desktop Connection) для их дальнейшей кражи и получения несанкционированного доступа к удаленным хостам. Но главной особенностью данной вредоносной программы является использование сайта правительства Грузии для обновления. Более того, существует предположение, что именно компьютеры жителей Грузии представляют собой основную цель данного ботнета.
По словам специалистов ESET, угроза Win32/Georbot имеет механизм обновлений, который позволяет ей оставаться незамеченной для обнаружения антивирусными программами. У ботнета также есть резервный механизм получения команд на случай недоступности основного центра управления — это подключение к специальной веб-странице, размещенной на одном сервере с официальным сайтом грузинского правительства.
«Этот факт вовсе не означает, что правительство Грузии занимается управлением данной вредоносной программой. Довольно часто организации не знают о несанкционированном использовании их серверов, — говорит Пьер-Марк Бюро, руководитель программы глобального мониторинга вредоносной активности ESET. — Однако стоит отметить, что Министерство юстиции Грузии и CERT (Команда быстрого реагирования на компьютерные инциденты) были полностью осведомлены о ситуации. Расследование данного инцидента все еще продолжается, и с нашей стороны мы не прекращаем мониторинг».
Согласно данным вирусной лаборатории ESET, наибольшее количество заражений было отмечено в Грузии (70,45 %). Также пострадали, но с более низкими показателями жители таких стран как США (5,07 %), Германия (3,88 %), Россия (3,58 %), Украина (1,49 %), Канада (1,49 %) и Франция (1,19 %).
Аналитикам компании ESET также удалось получить доступ к центру управления ботнетом, содержащим информацию о числе зараженных компьютеров, их местоположении и передаваемых командах. Среди полученной информации наибольший интерес представляют ключевые слова, используемые злоумышленниками для поиска документов. В списке были указаны такие слова на английском языке как министерство, служба, секретно, агент, США, Россия, ФБР, ЦРУ, оружие, ФСБ, КГБ, телефон, номер и многие другие.
Специалистами ESET также было установлено, что такие возможности ботнета, как запись видео с помощью веб-камеры, получение скриншотов рабочего стола, проведение DDoS-атак были применены не один раз. Тот факт, что ботнет использовал грузинский сайт для получения команд и обновлений, а возможно и для распространения вредоносного ПО, говорит о том, что главной целью злоумышленников были граждане Грузии. Однако уровень сложности этой угрозы является низким. Вирусные специалисты ESET полагают, что если бы данная атака спонсировалась государством, то она была бы реализована более профессионально и незаметно. Существует предположение, что вредоносная программа Win32/Georbot была создана группой киберпреступников, основная цель которых — добыча секретной информации с последующей перепродажей.
«Деятельность киберпреступников становится все более профессиональной и целенаправленной. Наиболее яркими примерами вредоносных программ, используемых для совершения подобных атак, остаются Win32/Stuxnet и Win32/Duqu. В то же время, несмотря на то, что Win32/Georbot менее технологична, данная угроза все равно имеет новые уникальные характеристики. В случае с Win32/Georbot цель злоумышленников, скорее всего, заключается в получении доступа к системе и хранимой или обрабатываемой в ней информации. Это подтверждается, например, поиском конфигурационных файлов RDP для удаленного доступа к машине, — делает заключение Рихард Цвиненберг, главный эксперт по исследованиям и разработкам компании ESET.