Kormányzati információk gyűjtésére szakosodott vírust találtak

Az ESET által vizsgált Win32/Georbot információlopó trójai és botnet elsősorban Grúziában található meg, de találtak fertőzött gépeket a világ más részein is.

Az ESET ma adott ki egy közleményt, melyben bejelentik, hogy szakembereik az elmúlt hetekben felfedeztek egy – egyelőre főként Grúziában terjedő, de már más országba is beszökött – „botnetet”, amely nagyon érdekes kommunikációs képességekkel rendelkezik. Több tevékenysége mellett megpróbál dokumentumokat és tanúsítványokat lopni, képes audio- és videofelvételeket készíteni, valamint a helyi hálózatot is átböngészi, információkat keresve. A grúziai terjedés magyarázata, hogy – meglepő módon – egy grúziai kormányzati honlapot használ arra, hogy a parancsait frissítse és az információkat ellenőrizze, ezért az ESET kutatói úgy gondolják, hogy a Win32/Georbotnak elnevezett kártevő elsősorban grúziai felhasználókat céloz meg. Egy másik különös ismertetője a rosszindulatú programnak, hogy Remote Desktop Configuration fájlok után kutat, és így lehetővé teszi a támadóknak, hogy fájlokat lophassanak, majd ezeket elküldhessék távoli számítógépekre, bármilyen beavatkozás nélkül. Ami még aggasztóbb, az a vírus folyamatos fejlődése, mivel az ESET – a március 20-áig tartó vizsgálódásai során – számos új variánst fedezett fel.

A Win32/Georbot korszerű frissítő mechanizmussal rendelkezik, melynek segítségével folyamatosan új változatokat tölt le saját magából, annak érdekében, hogy észrevétlen maradjon az antivírusprogramok előtt. Ezen felül egy védő mechanizmust is használ arra az esetre, ha nem érné el a C&C (Command-and-Control) szervert, hiszen ilyen esetben egy speciális weblaphoz csatlakozik, amely a grúz kormány egy szerverén található.

Már 2011 óta ismerik a vírust

„Ez nem feltétlenül jelenti azt, hogy a grúz kormány is benne van az ügyben. Elég gyakran megesik, hogy az emberek nincsenek azzal tisztában, hogy a rendszereiket kompromittálták. Tudni kell, hogy a grúz igazságügyi minisztérium adatforgalmi ügynöksége és a nemzeti CERT teljes mértékben tisztában van a helyzettel már 2011 óta, folyamatos megfigyelést végeznek, és ennek keretében kértek szakmai segítséget az ESET-től” – nyilatkozta a történtekről Pierre-Marc Bureau, az ESET Security Intelligence Program igazgatója.

Az összes fertőzött gazdagépnek a 70%-át Grúziában lokalizáltak, további 12%-kal részesedik az Egyesült Államok, Németország és Oroszország.

Az ESET kutatói arra is képesek voltak, hogy a botnet irányító paneljéhez hozzáférjenek, és így tiszta adatokhoz jutottak az érintett gépek számával, elhelyezkedésével kapcsolatban, valamint a vírus lehetséges parancsait is elérték. A legérdekesebb információ, amelyet az irányító panelban találtak, egy lista volt az összes kulcsszóval, amelyre a botnet rákeresett a dokumentumokban a megfertőzött rendszereken. Egyebek mellett a következő szavak szerepeltek angolul a listában: „minisztérium, szolgálat, titok, ügynök, USA, Oroszország, FBI, CIA, fegyver, FSB, KGB, telefonszám”.

„A videorögzitő funkció pár alkalommal került csak használatba, webkamera segítségével, screenshotok készítésével és DDoS támadások által” – nyilatkozta Bureau. A tény, hogy egy grúz weboldalt használ a parancsok frissítésére és az információk ellenőrzésére, valamint hogy valószínűleg ugyanezt az oldalt használta a terjeszkedésre, azt sugallja, hogy az elsődleges célpont Grúzia lehet.

Írta: IT café | 2012-03-22 13:05 |

http://itcafe.hu/hir/eset_geoorbot_gruzia_virus_kormanyzat.html