Sei stato infettato da un sito web del governo in Georgia?

Conosciuta come azienda leader nella protezione proattiva contro gli attacchi online, gli esperti ESET hanno scoperto nelle ultime settimane una “botnet” che finora si è diffusa principalmente in Georgia ma è già fuggita in altri Paesi e ha capacità di comunicazione molto interessanti.

Oltre a diverse attività, cerca di rubare documenti e certificati, è in grado di effettuare registrazioni audio e video e naviga anche nella rete locale per informazioni. La spiegazione per la diffusione in Georgia è che, sorprendentemente, utilizza un sito Web del governo georgiano per aggiornare i suoi comandi e controllare le informazioni, quindi i ricercatori ESET ritengono che il malware, chiamato Win32 / Georbot, si rivolga principalmente agli utenti georgiani. Un'altra caratteristica speciale del malware è che esegue la scansione di "File di configurazione desktop remoto" e consente quindi agli aggressori di rubare file e quindi inviarli a computer remoti senza alcun intervento. Ancora più preoccupante è la costante evoluzione del virus, ESET ha scoperto una serie di nuove varianti nelle sue indagini fino al 20 marzo.

Win32 / Georbot ha un meccanismo di aggiornamento all'avanguardia che ti consente di scaricare costantemente nuove versioni di te stesso per non farti notare dai programmi antivirus. Inoltre, utilizza un meccanismo di protezione nel caso in cui non riesca ad accedere al server C&C (Command-and-Control), poiché in questo caso si collega a un sito Web speciale situato su un server del governo georgiano.
 - Ciò non significa necessariamente che il governo georgiano sia coinvolto. Succede abbastanza spesso che le persone non siano consapevoli che i loro sistemi sono stati compromessi. Ha affermato Pierre-Marc Bureau, direttore del programma ESET Security Intelligence. 
 - Si segnala che l'Agenzia per lo scambio di dati del Ministero della giustizia della Georgia e il CERT nazionale sono pienamente consapevoli della situazione dal 2011, monitorano costantemente e hanno richiesto assistenza tecnica a ESET. Ha aggiunto. 
Il 70% di tutti gli host infetti era localizzato in Georgia, ma il 12% è stato trovato negli Stati Uniti, in Germania e in Russia.

I ricercatori ESET sono stati anche in grado di accedere al pannello di controllo della botnet per ottenere dati chiari sul numero e sulla posizione delle macchine interessate, nonché l'accesso a possibili comandi di virus. L'informazione più interessante trovata nella dashboard era un elenco di tutte le parole chiave che la botnet cercava nei documenti sui sistemi infetti. Tra le altre cose, nell'elenco sono state incluse le seguenti parole in inglese: "ministero, servizio, segreto, agente, USA, Russia, FBI, CIA, arma, FSB, KGB, numero di telefono".

 - La funzione di acquisizione video è stata utilizzata solo poche volte, tramite webcam, acquisizione di schermate e attacchi DDoS. Ha detto l'Ufficio di presidenza. Il fatto che utilizzi un sito web georgiano per aggiornare i comandi e verificare le informazioni e che potrebbe aver utilizzato la stessa pagina per espandersi, suggerisce che l'obiettivo principale potrebbe essere la Georgia.

Secondo Péter Béres, un esperto di virus presso Sicontact Kft., che distribuisce i prodotti di sicurezza IT di ESET in Ungheria:
 - Win32 / Georbot è stato molto probabilmente creato da un team di criminali informatici per ottenere informazioni sensibili che possono essere vendute ad altre organizzazioni.

 - La criminalità informatica sta diventando più professionale e prende di mira un numero sempre maggiore di attori. Win32 / Stuxnet e Win32 / Duqu sono capolavori del crimine informatico ad alta tecnologia che hanno uno scopo specifico, ma il meno sofisticato Win32 / Georbot ha anche capacità e metodi unici per ottenere ciò per cui sono stati creati. Win32 / Georbot ha molte informazioni speciali e accesso ai sistemi, quindi cerca i file di configurazione di Desktop remoto. - questa è la conclusione di Righard Zwienenberg, ricercatore senior presso ESET.

Fonte: comunicato stampa