Anti-virusbedrijf ESET heeft spyware ontdekt die gebruikt wordt om Georgische internetgebruikers te bespioneren en op een website van de Georgische overheid werd gehost. De "Georbot" werd begin dit jaar ontdekt en viel op omdat het zich specifiek op Georgische burgers richt. Uit analyse blijkt dat het om een informatie stelend Trojaans paard gaat dat instructies vanaf een Georgische overheidssite kreeg. De malware is ontwikkeld om certificaten, Word documenten en remote desktop configuratiebestanden te stelen. Daarnaast kan Georbot screenshots en via de microfoon en webcam audio- en video-opnamen maken.
Voor het vinden van interessante documenten, zocht de malware op verschillende sleutelwoorden, zoals: geheim, leger, VS, Rusland, majoor, kolonel, FBI, CIA, wapen, KGB, belangrijk, interesses, plan, FSB en generaal.
TijdszoneBij eerdere varianten die ESET ontdekte, controleerde de malware eerst de tijdszone voordat het zichzelf installeerde. De virusbestrijder wist toegang tot het beheerderspaneel van de malware te krijgen en ontdekte tweehonderd infecties. De meeste slachtoffers bevonden zich in Georgië. Daarnaast hadden de beheerders van het botnet de optie om interessante machines te selecteren. Toen ESET het beheerderspaneel bekeek, waren er zes machines als interessant bestempeld.
Hoe de malware zich verspreidde is nog onbekend, maar mogelijk gebeurde dit via de Georgische overheidssite waarmee de bots werden bestuurd. Zodra Georbot actief is, probeert het verbinding met een Command & Control-server te maken. Is die niet offline, dan maakt het verbinding met een Georgische overheidssite voor verdere instructies.
OverheidHet is echter de vraag of de Georgische overheid achter de malware zit. "Het feit dat het een Georgische overheidssite gebruikt om de command & control informatie te updaten, en dat het waarschijnlijk dezelfde website gebruikte om zich te verspreiden, doet vermoeden dat burgers in Georgië het primaire doelwit zijn", aldus ESET in het
onderzoeksrapport. Het anti-virusbedrijf stelt dat de complexiteit van de malware zeer laag is. "Als de operatie door een staat was gesponsord, zou de malware professioneler en onzichtbaarder opereren."
Volgens Pierre-Marc Bureau, hoofdonderzoeker bij ESET, zou de Georgische overheid de situatie sinds 2011 monitoren. "Ze waren zeer behulpzaam tijdens het onderzoek. We werken in dit onderzoek zelfs samen met ze", aldus Bureau tegenover Security.nl.
MotiefHet vermoeden bestaat dat een groep cybercriminelen de malware ontwikkelde om naar gevoelige informatie te zoeken en die aan andere organisaties te verkopen. "Mogelijk werken ze vanuit Georgië en hadden de 'mazzel' om controle over een overheidssite te krijgen en het als onderdeel van hun operatie te gebruiken", is in het rapport te lezen. De malware zou nog steeds van nieuwe versies worden voorzien, aangezien het meest recente exemplaar van 20 maart dateert.
Ook Bureau verbaast zich over de motieven van de aanvallers. "We proberen nog steeds de motieven van de malware-beheerder te ontrafelen. Hij of zij probeert duidelijk veel informatie over de slachtoffers te verzamelen. We weten niet wat hij of zij met de informatie na afloop van plan is." De onderzoeker wil liever niet speculeren over wie er achter de aanval kan zitten.
WebcamWat betreft het aantal slachtoffers van 200, stelt Bureau dat de malware zich waarschijnlijk op een specifieke groep slachtoffers richtte. Daarbij hebben de aanvallers ook de webcam en microfoon van slachtoffers ingeschakeld om hen zo te bespioneren. "We hebben gevallen gezien waarbij de malware-beheerder video- en audio-opnamen van het slachtoffer maakte."
Bron:
Security.nl