ESET обнаружила ботнет, управляемый через правительственный

[Ира]

ESET обнаружила ботнет, управляемый через правительственный сайт Грузии
22.03.2012 12:52

Компания ESET, международный разработчик антивирусного ПО, эксперт в области киберпреступности и защиты от компьютерных угроз, сообщает об обнаружении сети зараженных компьютеров (ботнет), которая управляется через официальный сайт правительства Грузии, сообщает "Грузия Online" со ссылкой на компанию ESET.

В начале 2012 года специалисты ESET выявили ботнет, получивший название Win32/Georbot. По данным компании ESET, управляющие команды исходят с официального сайта правительства Грузии. Целью создания данного ботнета является похищение документов и цифровых сертификатов с зараженных компьютеров. Еще одна особенность этой вредоносной программы заключается в том, что она ищет на инфицированном ПК файлы конфигурации RDP (Remote Desktop Connection) с целью дальнейшего хищения и получения несанкционированного доступа к ним. Кроме того, бот способен создавать аудио- и видео-записи и собирать информацию о локальной сети.

На сегодняшний день ботсеть Georbot по-прежнему активна, последние ее обновления были зафиксированы 20 марта текущего года. Аналитики ESET отмечают, что Georbot имеет механизм обновлений, который позволяет ей оставаться незамеченной для обнаружения антивирусными программами. У ботнета также есть резервный механизм получения команд на случай недоступности основного командного центра – это подключение к специальной веб-странице, размещенной на одном сервере с официальным сайтом грузинского правительства.

По данным компании ESET, Win32/Georbot ориентирован в первую очередь на компьютерных пользователей Грузии. Из всех зараженных компьютеров, которые специалистам удалось обнаружить, 70% находились в Грузии, затем следует США со значительно более низким показателем (5.07%), далее идут Германия (3.88%) и Россия (3.58%).отсюда

[kalia]

Как раз сейчас в оригинале читаю...

[kalia]

По данным компании ESET, управляющие команды исходят с официального сайта правительства Грузии.

The bot also has a fall-back mechanism in case it can’t reach the C&C (Command and Control) server: in that case it will then connect to a special webpage that was placed on a system hosted by the Georgian government. This does not automatically mean that the Georgian government is involved. Quite often people are not aware their systems are compromised. It should be also noted that the Data Exchange Agency of the Ministry of Justice of Georgia and its national CERT were fully aware of the situation as early as 2011 and, parallel to their own – still ongoing – monitoring, have cooperated with ESET on this matter.

Переводим Гуглом:

"Бот также есть запасной механизм в случае, если он не может достичь C & C (Command и Control) сервер: в этом случае будет подключаться к специальной веб-странице, которая была помещена в системе по приглашению грузинского правительства. Это не означает автоматически, что правительство Грузии занимается. Довольно часто люди не знают их системы под угрозу. Следует также отметить, что Агентство по обмену данными Министерства юстиции Грузии и ее национальным CERT были полностью осведомлены о ситуации в начале 2011 года и, параллельно самостоятельно - все еще продолжается - мониторинг, сотрудничал с ESET по этому вопросу ."

Совершенно очевидно, что "system hosted by the Georgian government" НЕ ОЗНАЧАЕТ "которая была помещена в системе по приглашению грузинского правительства", а скорее - "система, находящаяся под управлением грузинского правительства". Т.е. какой-то правительственный сайт взломали - что, к сожалению, не редкость, ибо секюрити там до сих пор на пещерном уровне - и поместили туда некую страничку для управления ботнетом. Ну и пишется, что соответствующие структуры в минюсте Грузии и те, кто за безопасность отвечают - в курсе и сотрудничают с ESET-ом.

Вечно этот апсны.ге накосячит с переводом...

[Ира]

Грузия опровергла управление ботнетом с сервера правительства
22.03.2012 23:39

В правительственной канцелярии Грузии опровергли информацию о существовании ботнета (сети зараженных компьютеров), управляемого с сервера правительства страны. Об этом сообщает "Новости-Грузия".

После перепроверки информацию, распространенную 22 марта антивирусной компанией ESET, в ведомстве назвали "абсурдной, беспочвенной и не соответствующей действительности", отмечает издание. При этом в канцелярии подчеркнули, что никаких сведений от самой ESET они не получали.

В сообщении ESET утверждалось, что компания обнаружила в начале 2012 года ботнет, в котором в качестве одного из способов управления использовалась специальная страница на сервере, на котором размещен сайт правительства Грузии.

При этом специалисты компании предположили, что власти страны никак не связаны с созданием сети, а сервер мог быть взломан без их ведома. В качестве аргумента они приводили низкую технологическую реализацию вредоносной программы.

Компания сообщила также, что уже оповестила Минюст и Команду быстрого реагирования на компьютерные инциденты (CERT) Грузии, отметив, что расследование пока продолжается. Последняя активность ботнета, получившего название Win32/Georbot, была зафиксирована 20 марта.

В правительственной канцелярии не смогли пояснить, зачем компании ESET могло понадобиться распространение недостоверных сведений.

[pathfounder]

для пользователей форума могу предоставить сервер обновлений (бездвоздмездно) - пишите в личку предпочтительный логмн и пароль :)

[kalia]

для пользователей форума могу предоставить сервер обновлений (бездвоздмездно) - пишите в личку предпочтительный логмн и пароль :)

Вот доберется до тебя ESET, будешь знать... ))

[pathfounder]

неее... не доберётся... а если и доберётся - у меня никаких правовых нарушений - OpenSource

[Ира]

для пользователей форума могу предоставить сервер обновлений (бездвоздмездно) - пишите в личку предпочтительный логмн и пароль :

А можно с этого места поподробней...У меня ESET.Надоело каждый месяц регистрироваться,чтобы получить пароль.

[pathfounder]

для пользователей форума могу предоставить сервер обновлений (бездвоздмездно) - пишите в личку предпочтительный логмн и пароль :

А можно с этого места поподробней...У меня ESET.Надоело каждый месяц регистрироваться,чтобы получить пароль.

Напиши мне в личку предпочтительный логин и пароль :) такой чтобы сходу вспоминала - я создам учётку и выложу пошаговую инструкцию что и куда надо вписать - и всё :)
больше искать ключи не придётся...

[Tch]

для пользователей форума могу предоставить сервер обновлений (бездвоздмездно) - пишите в личку предпочтительный логмн и пароль :)

Я конечно оптимист, но в этом вопросе имею личный опыт.
Когда-то держал два сервера обновлений. Один в реальном интернете, второй в городской локальной сети.
Через месяц существования интернетовского сервера обновлений получил шикарный наезд от Российского ESET - причем, сразу в два адреса: на меня и на хостера. Конечно моментально все снесли.

А в городской локальной сети уже 4 года существует.
Похоже у них проблема с идентификацией реальных адресов в сети 10.1.x.x - вот и не знаю на кого наезжать, но однозначно сам же антивирус "стучит" в центр с какого адреса обновляется.

[pathfounder]

ну у меня уже больше года работает :)

[kalia]

Похоже у них проблема с идентификацией реальных адресов в сети 10.1.x.x - вот и не знаю на кого наезжать

Ну естественно - эти адреса не идентифицируются, но дело в том, что таким адресом ты в инет и не выйдешь - там из-за НАТа в любом случае будет виден реальный адрес шлюза. А вот почему они на ТОТ адрес не наезжают - ХЗ