Grúziából szeretettel

2012. március 23. 10:30 - Csizmazia Darab István [Rambo]

Az ESET szakemberei az elmúlt hetekben felfedeztek egy - egyelőre főként Grúziában terjedő, de már más országba is beszökött botnetet, amely nagyon érdekes kommunikációs képességekkel rendelkezik. Több tevékenysége mellett megpróbál dokumentumokat és tanúsítványokat lopni, képes audió és videó felvételeket készíteni, valamint a helyi hálózatot is átböngészi, információkat keresve.

A grúziai terjedés magyarázata, hogy meglepő módon egy grúziai kormányzati honlapot használ arra, hogy a parancsait frissítse, és az információkat ellenőrizze, ezért az ESET kutatói úgy gondolják, hogy a Win32/Georbot-nak elnevezett kártevő elsősorban grúziai felhasználókat céloz meg. Még egy különös ismertetője a rosszindulatú programnak, hogy “Remote Desktop Configuration Files”-ok után kutat és így lehetővé teszi a támadóknak, hogy fájlokat lophassanak, majd ezeket elküldhessék távoli számítógépekre, bármilyen beavatkozás nélkül. Ami még aggasztóbb az a vírus folyamatos fejlődése, az ESET - a március 20-áig tartó vizsgálódásai során - számos új variánst fedezett fel.

A Win32/Georbot korszerű frissítő technikával rendelkezik, melynek segítségével folyamatosan új változatokat tölt le saját magából, annak érdekében, hogy észrevétlen maradjon az antivírus programok előtt. Ezen felül egy védő mechanizmust is használ arra az esetre, ha nem érné el a C&C (Command-and-Control) szervert, hiszen ilyen esetben egy speciális weblaphoz csatlakozik, amely a grúz kormány egy szerverén található. "Ez nem feltétlenül jelenti azt, hogy a grúz kormány is benne van az ügyben. Elég gyakran megesik, hogy az emberek nincsenek azzal tisztában, hogy a rendszereiket kompromittálták." - nyilatkozta Pierre-Marc Bureau, az ESET Security Intelligence Program igazgatója.

Tudni kell, hogy a grúz igazságügyi minisztérium adatforgalmi ügynöksége (Data Exchange Agency of the Ministry of Justice of Georgia) és a nemzeti CERT teljes mértékben tisztában van a helyzettel már 2011 óta, folyamatos megfigyelést végeznek, és ennek keretében kértek szakmai segítséget az ESET-től. Az összes fertőzött gazdagépnek a 70%-át Grúziában lokalizáltak, de találtak 12%-ot az Egyesült Államokban, Németországban és Oroszországban.

Az ESET kutatói arra is képesek voltak, hogy a botnet irányító paneljéhez hozzáférjenek, és így tiszta adatokhoz jutottak az érintett gépek számával, elhelyezkedésével kapcsolatban, valamint a vírus lehetséges parancsait is elérték. A legérdekesebb információ, amelyet az irányító panelban találtak, egy lista volt az összes kulcsszóval, amelyre a botnet rákeresett a dokumentumokban a megfertőzött rendszereken. Egyebek mellett a következő szavak szerepeltek angolul a listában: “minisztérium, szolgálat, titok, ügynök, USA, Oroszország, FBI, CIA, fegyver, FSB, KGB, telefonszám”.

A videórögzítő funkció pár alkalommal került csak használatba, webkamera segítségével, screenshotok készítésével és DDoS támadások által. A tény, hogy egy grúz weboldalt használ a parancsok frissítésére és az információk ellenőrzésére, valamint hogy valószínűleg ugyanezt az oldalt használta a terjeszkedésre, azt sugallja, hogy az elsődleges célpont Grúzia lehet. Az ESET IT-biztonsági termékeit Magyarországon forgalmazó Sicontact Kft. vírus-szakértője, Béres Péter szerint a Win32/Georbot-ot nagy valószínűség szerint abból a célból hozta létre egy csapat kiberbűnöző, hogy érzékeny információkat szerezzenek, amelyeket más szervezeteknek adhatnak el.

A kiberbűnözés egyre professzionálisabbá válik és egyre nagyobb szereplőket céloz meg. A Win32/Stuxnet és a Win32/Duqu a high-tech kiberbűnözés mesterpéldányai, amelyek egy adott célt szolgálnak, de a kevésbé szofisztikált Win32/Georbot-nak is szemlátomást meg vannak a szükséges egyedi képességei és módszerei arra, hogy megszerezze azt, amire létrehozták

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása