Компания ESET сообщила об обнаружении сети зараженных компьютеров, которая управляется через официальный сайт правительства Грузии. Целью создания данного ботнета, обнаруженного еще в начале года, является похищение документов и цифровых сертификатов с зараженных компьютеров. Еще одна особенность этой вредоносной программы заключается в том, что она ищет на инфицированном ПК файлы конфигурации RDP (Remote Desktop Connection) с целью дальнейшего хищения и получения несанкционированного доступа к ним. Кроме того, бот способен создавать аудио- и видео-записи и собирать информацию о локальной сети.
На сегодняшний день ботсеть Georbot по-прежнему активна, последние ее обновления были зафиксированы 20 марта текущего года. Аналитики ESET отмечают, что Georbot имеет механизм обновлений, который позволяет ей оставаться незамеченной для обнаружения антивирусными программами. У ботнета также есть резервный механизм получения команд на случай недоступности основного командного центра – это подключение к специальной веб-странице, размещенной на одном сервере с официальным сайтом грузинского правительства.
По данным компании ESET, Win32/Georbot ориентирован в первую очередь на компьютерных пользователей Грузии. Из всех зараженных компьютеров, которые специалистам удалось обнаружить, 70% находились в Грузии.
Аналитикам компании ESET также удалось получить доступ к центру управления ботнетом, содержащим информацию о числе зараженных ПК, их местоположении и передаваемых командах. Среди полученной информации определенный интерес представляют ключевые слова, используемые для поиска документов, которые интересуют злоумышленников. В списке ключевых слов – министерство, служба, секретно, говорит, агент, США, Россия, ФБР, ЦРУ, оружие, ФСБ, КГБ, телефон, номер и др.
Специалистами установлено, что такие возможности ботнета, как запись видео с помощью веб-камеры, получение снимков рабочего стола, проведение DDoS-атак были применены не один раз. Тот факт, что ботнет использовал сайт Грузии для получения команд и обновлений, а возможно и для распространения вредоносного ПО, говорит о том, что главной целью злоумышленников являются граждане Грузии. Однако уровень технологической реализации данной угрозы является довольно низким. Вирусные специалисты ESET полагают, что если бы данная атака спонсировалась государством, то она была бы более технически продвинутой и скрытой. По мнению специалистов, Win32/Georbot был разработан киберкриминальной группой, целью которой является добыча секретной информации с последующей перепродажей.