Mimo jiné se pokouší krást dokumenty a certifikáty, dokáže vytvářet audio a video záznamy a prohlížet lokální sítě za účelem sběru informací. Je překvapivé, že k aktualizaci svých příkazů a kontrole informací využívá gruzínské vládní webové stránky. Analytici ESETu si proto myslí, že Win32/Georbot se zaměřuje na uživatele počítačů v Gruzii. Další neobvyklou charakteristikou tohoto škodlivého programu je to, že hledá “konfigurační soubory vzdálené plochy”, a tím umožňuje útočníkům krást tyto soubory a nahrát je na vzdálené počítače, aniž by zneužil jejich zranitelnosti. Znepokojivé je, že vývoj tohoto malware pokračuje; Eset nalezl jeho nové volně se šířící varianty ještě 20. března.
Země Procento rozšíření
Gruzie 70,45 %
USA 5,07 %
Německo 3,88 %
Rusko 3,58 %
Kanada 1,49 %
Ukrajina 1,49 %
Francie 1,19 %
Ostatní 12,83 %
Win32/Georbot obsahuje mechanismus, který ho dokáže přeměnit na nové verze botu, aby tím unikl anti-malware scannerům. Bot také disponuje nouzovým mechanismem pro případ, že se nemůže spojit se svým centrálním serverem, od nějž dostává příkazy. V takovém případě se připojí ke speciální webové stránce umístěné v systému hostovaném gruzínskou vládou. “To automaticky neznamená, že do celé záležitosti je zapojena gruzínská vláda. Lidé si často neuvědomují, že zrovna jejich počítačový systém je infikován,” říká Pierre-Marc Bureau, Eset Security Intelligence Program Manager. “Je třeba také upozornit, že Agentura pro výměnu dat Ministertsva spravedlnosti Gruzie a jeho národní tým pro internetovou bezpečnost věděli o této hrozbě již koncem roku 2011 a paralelně spolupracovali při monitoringu této hrozby a na její eliminaci společně s Esetem,” dodává Bureau. Ze všech infikovaných počítačů jich 70 % bylo umístěno v Gruzii, řádově mnohem méně strojů bylo nakaženo v USA, Německu a Rusku.
Výzkumníci Eset dokázali získat přístup k ovládacímu panelu tohoto botu, a dostali se tak k detailním informacím o počtu postižených zařízení, jejich poloze a příkazech, které na tato tařízení bot posílal. Nejzajímavější informací nalezenou na ovládacím panelu byl seznam se všemi klíčovými slovy, které byly zaměřeny na dokumenty v infikovaných systémech. Mezi nimi byla například slova “ministerstvo, služby, tajemství, agent, USA, Rusko, FBI, CIA, zbraně, FSB, KGB, telefon, číslo”.
“Funkce umožňující nahrávání videa prostřednictvím webové kamery, pořizování snímků obrazovky a spuštění DDoS útoků jsme v praxi už několikrát měli možnost vidět,” říká Bureau. Fakt, že botnet využívá gruzínskou webovou stránku k aktualizaci svých příkazů, a že pravděpodobně používal stejnou stránku ke svému šíření, naznačuje, že primárně jsou ohroženi obyvatelé Gruzie. Na druhou stranu, úroveň propracovanosti této hrozby je relativně nízká. Výzkumníci Esetu mají za to, že pokud by šlo o operaci sponzorovanou nějakým státem, byla by nenápadnější. Nejpravděpodobnější hypotézou je, že Win32/Georbot vytvořila skupina kyberzločinců, kteří se snažili najít citlivé informace, aby je pak prodali dalším organizacím.
PŘEDPLATNÉ
ČLÁNKY DO MAILU