ESET: Троян получал команды с сайта правительства Грузии

image

Теги: ESET, троян, ботнет, Грузия

Специалисты утверждают, что ботнет Win32/Georbot похищал секретные документы, а также делал аудио- и видеозаписи с помощью web-камер.

Согласно сообщению антивирусной компании ESET, ее специалисты обнаружили сеть зараженных компьютеров, которая удаленно управлялась злоумышленниками через официальный web-сайт правительства Грузии. Ботнет, получивший название Win32/Georbot, был создан с помощью троянского приложения, предназначенного для похищения конфиденциальных документов и цифровых сертификатов.

В ESET отметили, что характерной особенностью вредоносной программы является функция поиска файлов конфигурации RDP (Remote Desktop Connection), которые в случае обнаружения передаются на удаленный сервер злоумышленников. Кроме того, при наличии микрофона или web-камеры, вирус способен вести аудио и видео наблюдение а также делать скриншоты рабочего стола.

«Аналитикам компании ESET также удалось получить доступ к центру управления ботнетом, содержащим информацию о числе зараженных ПК, их местоположении и передаваемых командах, - сообщают эксперты и акцентируют внимание на списке ключевых слов, используемых трояном для поиска документов. - В списке ключевых слов - министерство, служба, секретно, говорит, агент, США, Россия, ФБР, ЦРУ, оружие, ФСБ, КГБ, телефон, номер».

По предположениям экспертов, Win32/Georbot прежде всего ориентирован на пользователей из Грузии. Это подтверждает тот факт, что из всех зараженных компьютеров 70% находились на территории Грузии, на втором месте со значительным отрывом находились США - 5.07%, далее следуют Германия - 3.88% и Россия - 3.58%.

«Этот факт вовсе не означает, что правительство Грузии занимается управлением данной вредоносной программой. Довольно часто организации не знают о том, что их серверы были скомпрометированы», - пояснил руководитель программы глобального мониторинга вредоносной активности ESET Пьер-Марк Бюро (Pierre-Marc Bureau).

Эксперты также отметили, что технологическую реализацию данной угрозы трудно назвать государственной. По их словам, если бы данная атака спонсировалась государством, то она была бы более технически продвинутой и скрытой. В то же время в ESET подчеркивают, что троян все еще активен и его последние обновления были зафиксированы 20 марта текущего года.

Ознакомиться с отчетом компании ESET можно здесь .  

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus