ТБИЛИСИ, 22 мар - Новости-Грузия. Компания Eset, занимающаяся разработкой антивирусного программного обеспечения, заявляет, что обнаружила ботнет на сервере, где также размещен официальный сайт правительства Грузии. Предположительно, этот сервер был взломан злоумышленниками, сообщают 22 марта представители компании, передает агентство РИА Новости.
Специалисты компании Eset считают, что данный ботнет ориентирован в первую очередь на ПК-пользователей Грузии. Из всех зараженных компьютеров, которые специалистам удалось обнаружить, 70% находились в Грузии, затем следует США со значительно более низким показателем (5,07%), далее идут Германия (3,88%) и Россия (3,58%), сказано в пресс-релизе Eset.
Как отмечают аналитики компании, ботнет имеет механизм обновлений, позволяющий ему обновлять свои компоненты, чтобы оставаться незамеченным для обнаружения антивирусными программами. У ботнета также есть резервный механизм получения команд на случай недоступности основного командного центра - это подключение к специальной веб-странице, размещенной на одном сервере с официальным сайтом грузинского правительства.
"Этот факт вовсе не означает, что правительство Грузии занимается управлением данной вредоносной программы. Довольно часто люди не знают, что их сервера были скомпрометированы", - подчеркивает Бюро.
"Министерство юстиции Грузии и CERT (Команда быстрого реагирования на компьютерные инциденты) были полностью осведомлены о ситуации еще в конце 2011 года. Расследование данного инцидента все еще продолжается, и с нашей стороны мы не прекращаем мониторинг", - процитированы в пресс-релизе слова ведущего инженера вирусной лаборатории Eset Пьер-Марка Бюро.
Целью данного ботнета, обнаруженного специалистами Eset в конце 2011 года, является хищение документов и цифровых сертификатов. Как отмечают представители Eset, ботнет по-прежнему активен, его последние действия зафиксированы 20 марта.
Помимо кражи документов, вредоносная программа Win32/Georbot, с помощью которой и был создан ботнет, ищет на зараженном компьютере конфигурационные файлы RDP (Remote Desktop Connection) с целью дальнейшего получения несанкционированного удаленного доступа к компьютерам. Также программа способна создавать аудио- и видеозаписи с помощью веб-камеры компьютера, собирать информацию о локальной сети.
Специалистами антивирусной компании установлено, что такие возможности ботнета, как запись видео с помощью веб-камеры, получение снимков рабочего стола, проведение DDoS-атак были использованы не один раз. Представители Eset полагают, что Win32/Georbot был разработан криминальной группой, целью которой является добыча секретной информации с последующей перепродажей.
Аналитикам компании Eset также удалось получить доступ к центру управления ботнетом, содержащему информацию о числе зараженных ПК, их местоположении и передаваемых командах. Среди полученной информации определенный интерес представляют ключевые слова, которые используются для поиска документов, интересующих злоумышленников на зараженных компьютерах. Среди них - министерство, служба, секретно, говорит, агент, США, Россия, ФБР, ЦРУ, оружие, ФСБ, КГБ, телефон, номер, сообщает РИА Новости.
