«Министерство юстиции Грузии и CERT (Команда быстрого реагирования на компьютерные инциденты) были полностью осведомлены о ситуации еще в конце прошлого года. Расследование данного инцидента все еще продолжается, и с нашей стороны мы не прекращаем мониторинг», — приводит пресс-релиз слова руководителя программы глобального мониторинга вредоносной активности Eset Пьер-Марка Бюро.

Целью данного ботнета, обнаруженного специалистами Eset в конце 2011 года, является хищение документов и цифровых сертификатов. Как отмечают представители Eset, ботнет по-прежнему активен, его последние действия зафиксированы 20 марта.

Помимо кражи документов, вредоносная программа Win32/Georbot, с помощью которой и был создан ботнет, ищет на зараженном компьютере конфигурационные файлы RDP (Remote Desktop Connection) с целью дальнейшего получения несанкционированного удаленного доступа к компьютерам. Также программа способна создавать аудио- и видеозаписи с помощью веб-камеры компьютера, собирать информацию о локальной сети.

Специалистами антивирусной компании установлено, что такие возможности ботнета, как запись видео с помощью веб-камеры, получение снимков рабочего стола, проведение DDoS-атак были использованы не один раз. Представители Eset полагают, что Win32/Georbot был разработан криминальной группой, целью которой является добыча секретной информации с последующей перепродажей.

Специалисты компании Eset считают, что данный ботнет ориентирован в первую очередь на ПК-пользователей Грузии. Из всех зараженных компьютеров, которые специалистам удалось обнаружить, 70% находились в Грузии, затем следует США со значительно более низким показателем (5,07%), далее идут Германия (3,88%) и Россия (3,58%).

Как отмечают аналитики компании, ботнет имеет механизм обновлений, позволяющий ему обновлять свои компоненты, чтобы оставаться незамеченным для обнаружения антивирусными программами. У ботнета также есть резервный механизм получения команд на случай недоступности основного командного центра — это подключение к специальной веб-странице, размещенной на одном сервере с официальным сайтом грузинского правительства.

«Этот факт вовсе не означает, что правительство Грузии занимается управлением данной вредоносной программы. Довольно часто люди не знают, что их сервера были скомпрометированы», — утверждает Бюро.

Аналитикам компании Eset также удалось получить доступ к центру управления ботнетом, содержащему информацию о числе зараженных ПК, их местоположении и передаваемых командах. Среди полученной информации определенный интерес представляют ключевые слова, которые используются для поиска документов, интересующих злоумышленников на зараженных компьютерах. Среди них — министерство, служба, секретно, говорит, агент, США, Россия, ФБР, ЦРУ, оружие, ФСБ, КГБ, телефон, номер.