W32/Georbot styres via en webserver som eies av georgiske myndigheter. Botnettet ser ut til å være rettet mot georgiske ofre. (Bilde: Wikipedia)

Botnet styres via statlig eid nettsted

Kan spres via Remote Desktop uten å benytte sårbarheter.

Forskere ved det slovakiske IT-sikkerhetsselskapet ESET har avdekket et noe spesielt botnett. Nettverket kalles for W32/Georbot. Bakgrunnen for dette er at oppdateringen av kommandoer og kontrollinformasjon kskjer via et nettsted som eies av georgiske myndigheter.

– Dette alene er svært urovekkende. I tillegg viser trusselen andre uvanlige karakteristikker, ved at W32/Georbot søker etter konfigurasjonsfiler for "Remote Desktop" på de infiserte maskinene, noe som dermed gjør det mulig for angriperne å stjele disse filene og laste dem opp til fjernaksesserte maskiner – uten å benytte seg av noen sårbarheter. Det som verre er, er at utviklingen av skadevaren fremdeles foregår for fullt. ESET fant helt nye varianter av trusselen så sent som 20. mars, sier Christian Teien Sørensen, norgessjef i Eurosecure, som representerer ESET i Norge og Norden, i en pressemelding. Botnettet forsøker å stjele dokumenter og sertifikater samt at det er i stand til å kopiere lyd og bilde fra maskinene i botnettet og søke på lokale nettverk etter informasjon.

Christian Teien Sørensen, norgenssjef i Eurosecure.
Christian Teien Sørensen, norgenssjef i Eurosecure.

– W32/Georbot har også en oppdateringsmekanisme som gjør at den kan forvandles til nye versjoner av botnettet i et forsøk på å forbli uoppdaget av skannere som søker etter skadelig kode. Samtidig har den en retrett-mekanisme som brukes i tilfelle den ikke når C&C-serveren (Command-and-Control). Da kobles den til en dedikert nettside som har vært plassert på et system driftet av georgianske myndigheter. Det betyr imidlertid ikke nødvendigvis at georgianske myndigheter er involvert, da man med denne type trusler som oftest ikke er klar over at man er angrepet, mener Sørensen.

Noe underlig er det da at det georgianske Data Exchange Agency, som er underlagt det georgianske Justisdepartementet, samt det nasjonale CERT, har vært klar over situasjonen siden 2011. I parallell med deres egen pågående overvåkning, skal de ha samarbeidet tett med ESET.

70 prosent av infiserte vertmaskiner er blitt lokalisert i Georgia, men det er også funnet vertsmaskiner i blant annet USA, Tyskland, Frankrike og Russland.

– ESETs forskere har klart å få tilgang til botnettets kontrollpanel, og har funnet detaljert informasjon om antall infiserte maskiner, lokasjoner og mulige kommandoer. Det mest interessante funnet av informasjon i kontrollpanelet, var en liste over alle nøkkelord som var definert som mål i dokumenter på de infiserte systemene. Av disse var blant annet de engelske ordene ministry, service, secret, agent, USA, Russia, FBI, CIA, weapon, FSB, KGB, phone og number, sier Anders Nilsson, sikkerhetsekspert i Eurosecure, i pressemeldingen.

– Funksjonaliteten for å ta opp video via webkameraet, ta skjermdumper og starte DDoS-angrep er blitt brukt ved et par anledninger. Det faktum at trusselen bruker en georgiansk nettside for å oppdatere kommandoer og kontrollinformasjon, samt at den mest sannsynlig bruker den samme nettsiden til å spre trusselen, tyder på at georgianske innbyggere kan være primærmålgruppen. På den andre siden er nivået av raffinement for trusselen lavt – den er ikke veldig avansert, sier Nilsson.

ESET mener at dersom trusselen hadde vært utviklet av en stat, ville den vært både mer avansert og mindre synlig. Selskapet mener at den mest sannsynlig hypotesen er at W32/Georbot er blitt utviklet av en gruppe nettkriminelle i et forsøk på å finne informasjon som kan selges til andre organisasjoner.

– Nettkriminalitet har utviklet seg til å bli mer profesjonell og mer målrettet, med stadig større aktører på banen. W32/Stuxnet og W32/Duqu er eksempler på høyteknologisk nettkriminalitet gjennomført med særskilte mål. Samtidig har mindre avanserte trusler, som W32/Georbot, unike funksjoner og metoder for å komme til kjernen av det utviklerne bak er ute etter. I W32/Georbots tilfelle dreier det seg om å tilgang til spesifikke systemer for å finne spesifikk informasjon, deriblant gjennom søket etter konfigurasjonsfilene for «Remote Desktop», avslutter Sørensen.

Microsoft fjernet nylig en alvorlig sårbarhet knyttet til Remote Desktop-funksjonaliteten i Windows. Men skadevaren knyttet til W32/Georbot skal ikke være avhengig av denne for kunne gjøre maskiner til «bots» eller zombier dersom de aktivt støtter Remote Desktop.

    Les også:

Til toppen