Eset: Win32/Georbot krade Gruzíncům informace

23. 3. 2012

Doba čtení: 2 minuty

Na začátku letošního roku objevili výzkumníci společnosti Eset, která se zaměřuje na ochranu před kybernetickými hrozbami, botnet (internetového robota), jenž se vyznačuje několika zajímavými vlastnostmi.

Win32/Georbot se mimo jiné pokouší krást dokumenty a certifikáty, dokáže vytvářet audio a video záznamy a prohlížet lokální sítě za účelem sběru informací.

K aktualizaci svých příkazů a kontrole informací využívá gruzínské vládní webové stránky. Analytici Esetu si proto myslí, že Win32/Georbot se zaměřuje na uživatele počítačů v Gruzii.

Botnet hledá „konfigurační soubory vzdálené plochy“, a tím umožňuje útočníkům krást tyto soubory a nahrát je na vzdálené počítače, aniž by zneužil jejich zranitelnosti. Vývoj tohoto malwaru pokračuje; Eset nalezl jeho nové volně se šířící varianty ještě 20. 3.

Win32/Georbot podle Esetu obsahuje mechanismus, který ho dokáže přeměnit na nové verze botu, aby tím unikl anti-malware scannerům. Bot také disponuje nouzovým mechanismem pro případ, že se nemůže spojit se svým centrálním serverem, od nějž dostává příkazy, uvádí výrobce. V takovém případě se připojí ke speciální webové stránce umístěné v systému hostovaném gruzínskou vládou. Ze všech infikovaných počítačů jich 70 % bylo umístěno v Gruzii, řádově mnohem méně strojů bylo nakaženo v USA, Německu a Rusku.

Výzkumníci Esetu dokázali získat přístup k ovládacímu panelu tohoto botu, a dostali se tak k detailním informacím o počtu postižených zařízení, jejich poloze a příkazech, které na tato zařízení bot posílal. Nejzajímavější informací nalezenou na ovládacím panelu byl seznam se všemi klíčovými slovy, které byly zaměřeny na dokumenty v infikovaných systémech. Mezi nimi byla například slova „ministerstvo, služby, tajemství, agent, USA, Rusko, FBI, CIA, zbraně, FSB, KGB, telefon, číslo“.

Fakt, že botnet využívá gruzínskou webovou stránku k aktualizaci svých příkazů, a že pravděpodobně používal stejnou stránku ke svému šíření, naznačuje, že primárně jsou ohroženi obyvatelé Gruzie. Na druhou stranu, úroveň propracovanosti této hrozby je relativně nízká, říká Eset. Výzkumníci Esetu mají za to, že pokud by šlo o operaci sponzorovanou nějakým státem, byla by nenápadnější. Nejpravděpodobnější hypotézou je, že Win32/Georbot vytvořila skupina kyberzločinců, kteří se snažili najít citlivé informace, aby je pak prodali dalším organizacím.

Tab.: Rozšíření malwaru Win32/Georbot v různých zemích