Bent u besmet met een overheidswebsite in Georgië?

Bekend als een toonaangevend bedrijf in proactieve bescherming tegen online aanvallen, hebben ESET-experts de afgelopen weken een "botnet" ontdekt dat zich tot nu toe voornamelijk naar Georgië heeft verspreid, maar dat al naar andere landen is gevlucht en dat zeer interessante communicatiemogelijkheden heeft.

Naast verschillende activiteiten probeert hij documenten en certificaten te stelen, kan hij audio- en video-opnames maken en zoekt hij informatie op het lokale netwerk. De verklaring voor de verspreiding in Georgië is dat het verrassend genoeg een Georgische overheidswebsite gebruikt om de opdrachten bij te werken en de informatie te controleren, dus ESET-onderzoekers denken dat de malware, genaamd Win32 / Georbot, zich voornamelijk richt op Georgische gebruikers. Een ander speciaal kenmerk van de malware is dat het scant naar "Remote Desktop Configuration Files" en zo aanvallers in staat stelt om bestanden te stelen en deze vervolgens zonder tussenkomst naar externe computers te sturen. Nog zorgwekkender is de constante evolutie van het virus, ESET heeft een aantal nieuwe varianten ontdekt in zijn onderzoeken tot 20 maart.

Win32 / Georbot heeft een ultramodern updatemechanisme waarmee je constant nieuwe versies van jezelf kunt downloaden om onopgemerkt te blijven door antivirusprogramma's. Bovendien gebruikt het een beschermingsmechanisme voor het geval het de C&C-server (Command-and-Control) niet bereikt, omdat het in dit geval verbinding maakt met een speciale website die zich op een server van de Georgische overheid bevindt.
 - Dit betekent niet noodzakelijk dat de Georgische regering erbij betrokken is. Het komt nogal eens voor dat mensen niet weten dat hun systemen zijn gecompromitteerd. Zei Pierre-Marc Bureau, directeur van het ESET Security Intelligence Program. 
 - Opgemerkt moet worden dat het Agentschap voor gegevensuitwisseling van het Ministerie van Justitie van Georgië en het nationale CERT sinds 2011 volledig op de hoogte zijn van de situatie, voortdurend toezicht houden en technische bijstand van ESET hebben gevraagd. Hij voegde toe. 
70% van alle geïnfecteerde gastheren waren gelokaliseerd in Georgië, maar 12% werd gevonden in de Verenigde Staten, Duitsland en Rusland.

ESET-onderzoekers hadden ook toegang tot het configuratiescherm van het botnet om duidelijke gegevens te verkrijgen over het aantal en de locatie van de getroffen machines, evenals toegang tot mogelijke virusopdrachten. De meest interessante informatie in het dashboard was een lijst met alle trefwoorden waarnaar het botnet zocht in de documenten op de geïnfecteerde systemen. In de lijst zijn onder meer de volgende woorden in het Engels opgenomen: “ministerie, service, geheim, agent, VS, Rusland, FBI, CIA, wapen, FSB, KGB, telefoonnummer”.

 - De video-opnamefunctie is slechts een paar keer gebruikt, met behulp van een webcam, het maken van screenshots en door DDoS-aanvallen. Zei het Bureau. Het feit dat het een Georgische website gebruikt om opdrachten bij te werken en informatie te verifiëren, en dat het mogelijk dezelfde pagina heeft gebruikt om uit te breiden, suggereert dat Georgië de primaire bestemming kan zijn.

Volgens Péter Béres, een virusexpert bij Sicontact Kft., die de IT-beveiligingsproducten van ESET in Hongarije distribueert:
 - Win32 / Georbot is hoogstwaarschijnlijk gemaakt door een team van cybercriminelen om gevoelige informatie te verkrijgen die aan andere organisaties kan worden verkocht.

 - Cybercriminaliteit wordt professioneler en richt zich op steeds meer actoren. Win32 / Stuxnet en Win32 / Duqu zijn meesterwerken van hightech cybercriminaliteit die een specifiek doel dienen, maar de minder geavanceerde Win32 / Georbot heeft ook unieke mogelijkheden en methoden om te krijgen waarvoor ze zijn gemaakt. Win32 / Georbot heeft veel speciale informatie en toegang tot systemen - dus zoek naar Remote Desktop-configuratiebestanden. - dit is de conclusie van ESET's hoofdonderzoeker Righard Zwienenberg.

Bron: Persbericht