Tech Kormányzati információk gy?jtésére szakosodott vírust találtak

Az ESET által vizsgált Win32/Georbot információlopó trójai és botnet els?sorban Grúziában található meg, de találtak fert?zött gépeket a világ más részein is.

Az ESET ma adott ki egy közleményt, melyben bejelentik, hogy szakembereik az elmúlt hetekben felfedeztek egy – egyel?re f?ként Grúziában terjed?, de már más országba is beszökött – „botnetet”, amely nagyon érdekes kommunikációs képességekkel rendelkezik. Több tevékenysége mellett megpróbál dokumentumokat és tanúsítványokat lopni, képes audio- és videofelvételeket készíteni, valamint a helyi hálózatot is átböngészi, információkat keresve. A grúziai terjedés magyarázata, hogy – meglep? módon – egy grúziai kormányzati honlapot használ arra, hogy a parancsait frissítse és az információkat ellen?rizze, ezért az ESET kutatói úgy gondolják, hogy a Win32/Georbotnak elnevezett kártev? els?sorban grúziai felhasználókat céloz meg. Egy másik különös ismertet?je a rosszindulatú programnak, hogy Remote Desktop Configuration fájlok után kutat, és így lehet?vé teszi a támadóknak, hogy fájlokat lophassanak, majd ezeket elküldhessék távoli számítógépekre, bármilyen beavatkozás nélkül. Ami még aggasztóbb, az a vírus folyamatos fejl?dése, mivel az ESET – a március 20-áig tartó vizsgálódásai során – számos új variánst fedezett fel.

A Win32/Georbot korszer? frissít? mechanizmussal rendelkezik, melynek segítségével folyamatosan új változatokat tölt le saját magából, annak érdekében, hogy észrevétlen maradjon az antivírusprogramok el?tt. Ezen felül egy véd? mechanizmust is használ arra az esetre, ha nem érné el a C&C (Command-and-Control) szervert, hiszen ilyen esetben egy speciális weblaphoz csatlakozik, amely a grúz kormány egy szerverén található.

Már 2011 óta ismerik a vírust

„Ez nem feltétlenül jelenti azt, hogy a grúz kormány is benne van az ügyben. Elég gyakran megesik, hogy az emberek nincsenek azzal tisztában, hogy a rendszereiket kompromittálták. Tudni kell, hogy a grúz igazságügyi minisztérium adatforgalmi ügynöksége és a nemzeti CERT teljes mértékben tisztában van a helyzettel már 2011 óta, folyamatos megfigyelést végeznek, és ennek keretében kértek szakmai segítséget az ESET-t?l” – nyilatkozta a történtekr?l Pierre-Marc Bureau, az ESET Security Intelligence Program igazgatója.

Az összes fert?zött gazdagépnek a 70%-át Grúziában lokalizáltak, további 12%-kal részesedik az Egyesült Államok, Németország és Oroszország.

Az ESET kutatói arra is képesek voltak, hogy a botnet irányító paneljéhez hozzáférjenek, és így tiszta adatokhoz jutottak az érintett gépek számával, elhelyezkedésével kapcsolatban, valamint a vírus lehetséges parancsait is elérték. A legérdekesebb információ, amelyet az irányító panelban találtak, egy lista volt az összes kulcsszóval, amelyre a botnet rákeresett a dokumentumokban a megfert?zött rendszereken. Egyebek mellett a következ? szavak szerepeltek angolul a listában: „minisztérium, szolgálat, titok, ügynök, USA, Oroszország, FBI, CIA, fegyver, FSB, KGB, telefonszám”.

„A videorögzit? funkció pár alkalommal került csak használatba, webkamera segítségével, screenshotok készítésével és DDoS támadások által” – nyilatkozta Bureau. A tény, hogy egy grúz weboldalt használ a parancsok frissítésére és az információk ellen?rzésére, valamint hogy valószín?leg ugyanezt az oldalt használta a terjeszkedésre, azt sugallja, hogy az els?dleges célpont Grúzia lehet.

Írta: IT café | 2012-03-22 13:05 |

http://itcafe.hu/hir/eset_geoorbot_gruzia_virus_kormanyzat.html