Сайт властей Грузии управляет сетью хакеров

Борцы с киберпреступностью обнаружили новую сеть зараженных компьютеров, специализирующуюся на кражах конфиденциальной информации. Управление компьютерами-зомби осуществляется с сайта правительства Грузии.

Как сообщили эксперты антивирусной компании ESET, сеть зараженных компьютеров называется Win32/Georbot. В настоящее время она находится в активном состоянии, последнее обновление ботнета произошло 20 марта. Управляется Win32/Georbot через официальный сайт правительства Грузии.

Главной целью зомби-сети стало похищение документов и цифровых сертификатов с зараженных компьютеров. Кроме того, проникнув на компьютер пользователя, вирус ищет на нем файлы конфигурации RDP для получения несанкционированного доступа к ним. Бот способен создавать аудио- и видеозаписи и собирать информацию о локальной сети.

В список ключевых слов, используемых хакерами при поиске интересных им документов, вошли "министерство", "служба", "секретно", "Россия", "ФСБ", "КГБ", "телефон" и другие. Судя по данным командного центра Win32/Georbot, в который проникли аналитики ESET, бот-сеть неоднократно похищала информацию в виде снимков рабочего стола жертв, а также с использованием их веб-камер.

Большинство жертв нового ботнета оказались расположены на территории Грузии. Там находятся примерно 70% инфицированных компьютеров. На втором месте – США, также отмечены зомби-машины в Германии и России. По мнению борцов с киберпреступностью, низкий уровень технической реализации ботнета указывает на то, что его авторами являются не правительственные службы Грузии, а неизвестная преступная группировка.

"Этот факт вовсе не означает, что правительство Грузии занимается управлением данной вредоносной программой. Довольно часто организации не знают, что их серверы были скомпрометированы, – заявил менеджер по глобальному мониторингу вредоносной активности ESET Пьер-Марк Бюро. – Однако стоит отметить, что Министерство юстиции Грузии и CERT (Команда быстрого реагирования на компьютерные инциденты) были полностью осведомлены о ситуации. Расследование данного инцидента все еще продолжается, и с нашей стороны мы не прекращаем мониторинг".