Kormányzati weboldalt fertőztek meg Grúziában?

Win32/Georbot – információlopó trójai és botnet

forrás Prim Online, 2012. március 22. 09:37

Az online támadások elleni proaktív védelem vezető vállataként ismert ESET szakemberei az elmúlt hetekben felfedeztek egy – egyelőre főként Grúziában terjedő, de már más országba is beszökött - “botnet”-et, amely nagyon érdekes kommunikációs képességekkel rendelkezik. Több tevékenysége mellett megpróbál dokumentumokat és tanusítványokat lopni, képes audió és videó felvételeket készíteni, valamint a helyi hálózatot is átböngészi, információkat keresve. A grúziai terjedés magyarázata, hogy – meglepő módon - egy grúziai kormányzati honlapot használ arra, hogy a parancsait frissítse, és az információkat ellenőrizze, ezért az ESET kutatói úgy gondolják, hogy a Win32/Georbot-nak elnevezett kártevő elsősorban grúziai felhasználókat céloz meg. Még egy különös ismertetője a rosszindulatú programnak, hogy “Remote Desktop Configuration Files”-ok után kutat és így lehetővé teszi a támadóknak, hogy fájlokat lophassanak, majd ezeket elküldhessék távoli számítógépekre, bármilyen beavatkozás nélkül. Ami még aggasztóbb az a vírus folyamatos fejlődése, az ESET – a március 20-áig tartó vizsgálódásai során - számos új variánst fedezett fel.

A Win32/Georbot korszerű frissítő mechanizmussal rendelkezik, melynek segítségével folyamatosan új változatokat tölt le saját magából, annak érdekében, hogy észrevétlen maradjon az antivírus programok előtt. Ezen felül egy védő mechanizmust is használ arra az esetre, ha nem érné el a C&C (Command-and-Control) szervert, hiszen ilyen esetben egy speciális weblaphoz csatlakozik, amely a grúz kormány egy szerverén található.
- Ez nem feltétlenül jelenti azt, hogy a grúz kormány is benne van az ügyben. Elég gyakran megesik, hogy az emberek nincsenek azzal tisztában, hogy a rendszereiket kompromittálták. - nyilatkozta Pierre-Marc Bureau, az ESET Security Intelligence Program igazgatója.
- Tudni kell, hogy a grúz igazságügyi minisztérium adatforgalmi ügynöksége (Data Exchange Agency of the Ministry of Justice of Georgia) és a nemzeti CERT teljes mértékben tisztában van a helyzettel már 2011 óta, folyamatos megfigyelést végeznek, és ennek keretében kértek szakmai segítséget az ESET-től. - tette hozzá.
Az összes fertőzött gazdagépnek a 70%-át Grúziában lokalizáltak, de találtak 12%-ot az Egyesült Államokban, Németországban és Oroszországban.

Az ESET kutatói arra is képesek voltak, hogy a botnet irányító paneljéhez hozzáférjenek, és így tiszta adatokhoz jutottak az érintett gépek számával, elhelyezkedésével kapcsolatban, valamint a vírus lehetséges parancsait is elérték. A legérdekesebb információ, amelyet az irányító panelban találtak, egy lista volt az összes kulcsszóval, amelyre a botnet rákeresett a dokumentumokban a megfertőzött rendszereken. Egyebek mellett a következő szavak szerepeltek angolul a listában: “minisztérium, szolgálat, titok, ügynök, USA, Oroszország, FBI, CIA, fegyver, FSB, KGB, telefonszám”.

- A videórögzitő funkció pár alkalommal került csak használatba, webkamera segítségével, screenshotok készítésével és DDoS támadások által. - nyilatkozta Bureau. A tény, hogy egy grúz weboldalt használ a parancsok frissítésére és az információk ellenőrzésére, valamint hogy valószínűleg ugyanezt az oldalt használta a terjeszkedésre, azt sugallja, hogy az elsődleges célpont Grúzia lehet.

Az ESET IT-biztonsági termékeit Magyarországon forgalmazó Sicontact Kft. vírus-szakértője, Béres Péter szerint:
- A Win32/Georbot-ot nagy valószínűség szerint abból a célból hozta létre egy csapat kiberbűnöző, hogy érzékeny információkat szerezzenek, amelyeket más szervezeteknek adhatnak el.

- A kiberbűnözés egyre professzionálisabbá válik és egyre nagyobb szereplőket céloz meg. A Win32/Stuxnet és a Win32/Duqu a high-tech kiberbűnözés mesterpéldányai, amelyek egy adott célt szolgálnak, de a kevésbé szofisztikált Win32/Georbot-nak is vannak egyedi képességei és módszerei arra, hogy megszerezze azt, amire létrehozták. A Win32/Georbot-nak sok különleges információja van és hozzáférése rendszerekhez – ezért keres a Remote Desktop configuration files-ok után. - erre a következtetésre jutott az ESET vezető kutatója, Righard Zwienenberg.

Képeinken az ESET szakértői: Pierre-Marc Bureau és Righard Zwienenberg.
 

Hirek.com - Kiemelt hír ROVAT TOVÁBBI HÍREI

Rekord összeget költenek a cégek IT-ra

A történelem során 2021-ben először haladja meg a 4 ezer milliárd dollárt a nagyvállalatok IT működésre és fejlesztésre fordított kiadása. Négy olyan ország van csupán, ahol a nominális nemzeti össztermék meghaladja ezt az összeget: az USA, Kína, Japán és Németország.

2021. június 7. 17:38

Kihirdették az Év Gyára verseny nyerteseit

Az utóbbi hónapokban egy sor kiváló gyár mutatta be tevékenységét és fejlesztéseit, hogy összemérjék eredményeiket egymással. A sokszínű mezőnyben a zsűrinek, a korábbi évekhez hasonlóan, nehéz dolga volt, az összetett díjasok kiválasztásában.

2021. május 31. 09:54

Hétszeres Business Superbrands díjas az ABB

Az ABB hazai leányvállalata, az ABB Kft. hetedik alkalommal nyerte el a tekintélyes Business Superbrands díjat.

2021. május 17. 16:40

Digitalizációs „bumm” a bankszektorban!

A koronavírus-válság jelentős változásokat hozott a bankszektornak a 2020-as évben: bevezették a hiteltörlesztési moratóriumot, megsokszorozódtak a hitelprogramok, valamint az új helyzet következtében a digitalizáció is felgyorsult.

2021. május 4. 19:29

Óvakodjunk a COVID-19 vakcinával kapcsolatos csalásoktól és álhírektől

Az oltóanyagok létfontosságú lépést jelentenek a világ koronavírus-járvány elleni küzdelmében, ugyanakkor mindez visszaélésekre is lehetőséget ad a csalók és álhírterjesztők számára. Az IT biztonsági megoldásokat fejlesztő ESET bemutatja a leggyakoribb, vakcinával kapcsolatos jellemző átveréseket, amellyel megpróbálnak hozzáférni a személyes adatainkhoz vagy a pénztárcánkhoz. 

2021. április 19. 14:58

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Jó belépő a külföldi piacra a hazai tech cégeknek

2021. július 20. 16:30

Első a kiberbiztonság?

2021. július 7. 12:37

950-szeresére nőtt három hét alatt a magyar vizslacoin árfolyama

2021. június 28. 09:52

NMHH-kutatás: miért nem internetezik mindenki?

2021. június 14. 09:53