Win32/Georbot szpieguje za pomocą internetowych kamer
Zagrożenie potrafi przechwytywać informacje przechowywane na dyskach twardych komputerów, a także posiada zdolność tworzenia tzw. sieci zombie, czyli grup zainfekowanych komputerów, które wykonują polecenia cyberprzestępców. Win32/Georbot, wykrada i przesyła dowolne pliki z komputerów swoich ofiar do zdalnego serwera cyberprzestępcy, a także umożliwia szpiegowanie internautów z wykorzystaniem kamer internetowych i mikrofonów, podłączonych do komputerów swoich ofiar.
Win32/Georbot pozwala również przeszukać dysk zainfekowanej maszyny w celu lokalizacji dokumentów tekstowych, zawierających takie zwroty w języku angielskim, jak minister, tajne, FBI, CIA, KGB, kapitan, pułkownik, porucznik, telefon, kontakt, Rosja, USA, Europa czy Gruzja. Zagrożenie może przesłać takie dokumenty wprost do cyberprzestępcy.
Zagrożenie monitorowane przez Gruzję- Z naszych ustaleń wynika, że Win32/Georbot był najczęściej wykorzystywany przez cyberprzestępców do przeszukiwania dysków zainfekowanych komputerów i pobierania z nich konkretnych plików - informuje Pierre-Marc Bureau, analityk firmy ESET.
Od 2011 roku zagrożenie jest monitorowane przez Agencję Wymiany Informacji Ministerstwa Sprawiedliwości Gruzji oraz przez międzynarodową organizację CERT. Obie te instytucje ściśle współpracują też z ekspertami firmy ESET.Zagrożenie bardzo szybko się aktualizuje
Wszystkie rozkazy z instrukcjami działania dla Win32/Georbot cyberprzestępca wydaje i aktywuje ręcznie, indywidualnie dla każdej zainfekowanej maszyny, a nie automatycznie, jak ma to miejsce w wypadku tradycyjnych zagrożeń. Win32/Georbot komunikuje się ze zdalnym serwerem cyberprzestępcy po protokole HTTP, za pośrednictwem którego przesyłane są komendy działania. Z takiego serwera Win32/Georbot pobiera również swoje nowe wersje. Według informacji zgromadzonych przez ekspertów firmy ESET, dotychczas zagrożenie aktualizowało się nawet co kilka dni, głównie w celu lepszego maskowania swojej obecności przed programami antywirusowymi.Ciekawą funkcjonalnością Win32/Georbot jest umiejętność działania w wypadku niemożności skontaktowania się ze zdalnym serwerem cyberprzestępcy, z którego przesyłane są do zagrożenia instrukcje działania. W wypadku zaistnienia takiej sytuacji Win32/Georbot łączy się z jedną z rządowych, gruzińskich domen, skąd otrzymuje adres IP nowego zdalnego serwera, z którym następnie nawiązuje połączenie.
Wirus wymierzony przeciwko Gruzji?
Według ekspertów z firmy ESET, analizujących Win32/Georbot, działalność cyberprzestępcza profesjonalizuje się. Fakt pobierania przez zagrożenie swoich aktualizacji z gruzińskich serwisów internetowych może sugerować, że głównym celem Win32/Georbot są Gruzini. Jednak Win32/Georbot atakował początkowo komputery użytkowników w dwóch strefach czasowych, nie wykluczone więc, że jego celem mogli być również mieszkańcy Rosji czy Iraku. Według hipotezy analityków firmy ESET, Win32/Georbot został stworzony przez grupę cyberprzestępców w celu kradzieży wrażliwych informacji i późniejszej ich odsprzedaży innym organizacjom.
is