Siber güvenlik ve korunma firması ESET, ilginç iletişim teknikleri kullanan bir botnet keşfetti. Sertifika ve dokümanları çalmayı amaçlayan W32/Georbot adlı truva atı, aynı zamanda bulaştığı makineden web kamerası aracılığı ile ses ve görüntü kaydedebilme ve yerel ağ içerisinde gezinebilme gibi yeteneklere de sahip. Truva atı, kendini güncellemek için enteresan bir şekilde Gürcistan devletine ait bir siteyi kullanıyor, bu nedenle ESET araştırmacıları özellikle Gürcistanlı kullanıcıların hedeflediğini düşünüyor. Etkilenmiş makinelerin, % 70i Gürcistanda. Onu Amerika, Almanya ve Rusya takip ediyor.
W32/Georbot adlı bulaşıcı yazılımın başka bir özelliği ise uzak masaüstü yapılandırma dosyalarını çalması ve bu sayede bilgisayar kullanıcısının herhangi bir açığını kullanmadan sisteme sızma olanağı vermesi. Üstelik bu zararlı yazılımın geliştirilmesine halen devam ediliyor, ESETin rastladığı en güncel sürüm 20 Mart tarihini taşıyor. W32/Georbotun binlerce bilgisayara yayılmasıyla oluşan botnet, aynı zamanda bir yedek mekanizmaya sahip. Sunucularına erişemediği durumlarda Gürcistan Devleti tarafından barındırılan bir sisteme eklenmiş özel bir web sitesine erişiyor.
Hemen aklınıza Gürcistan hükümetinin işin içinde olduğu gelmesin. İnsanların sistemlerine bulaşan zararlı yazılımlardan genelde haberi olmuyor diye not düşen ESET Güvenlik Müdürü Pierre-Marc Bureau, ayrıca Gürcistan Adalet Bakanlığı Veri Dolaşım Ajansının bu durumdan haberdar olduğunu ve kendi soruşturmalarının yanı sıra ESET ile de işbirliği içerisinde olduklarını dile getiriyor. Etkilenmiş makinelerin % 70i Gürcistanda. Gürcistanı Amerika, Almanya ve Rusya takip ediyor. Türkiyede henüz bir tespit söz konusu değil.
HEDEF GİZLİ DEVLET BİLGİLERİ Mİ?
ESET araştırmacıları botnetin yönetim paneline de erişmeyi başardı ve bu sayede etkilenen makinelerin yerlerini belirledi. Bu konudaki en ilginç gelişme ise yönetim panelinde bulunan ve etkilenen sistemlerde hedeflenen dokümanların içeriğine ait bir liste. Listedeki kelimelerden bazıları; bakanlık, servis, gizli, ajan, ABD, Rusya, FBI, CIA, silah, FSB, KGB, telefon, numara şeklinde sıralanıyor.
DEVLET OPERASYONU DEĞİL
Bureauya göre web kamerası aracılığı ile kayıt, ekran görüntüsü, DDOS saldırısı gibi özellikler birden fazla defa kullanılmış. Komutlarını güncellemek için Gürcistan kaynaklı bir siteyi kullanıyor olması ilk bakışta Gürcistan halkının birincil hedef olduğunu düşündürüyor. Fakat diğer yandan bu tehdit pek de karmaşık değil. ESET araştırmacılarına göre bu türden bir operasyon devlet destekli yapılıyor olsaydı daha profesyonel ve gizli olması gerekirdi. En akla yakın teori Win32/Georbotun bir grup sanal suçlu tarafından gizli bilgileri çalarak diğer organizasyonlara satmak amacı ile geliştirilmiş olması.
SANAL SUÇLAR GİDEREK PROFESYONELLEŞİYOR
ESET Araştırmacısı Righard Zwienenberge göre Büyük oyuncular sahaya girdikçe sanal suçlar daha profesyonel ve hedefe yönelik duruma geliyor. W32/Stuxnet ve W32/Duqu bu türden hedefe yönelik, ileri teknoloji sanal suçlara birer örnek ve daha az karmaşık olsa da W32/Georbotun da kendine has bazı yeni özellikleri mevcut. W32/Georbotun uzak masaüstü yapılandırma dosyalarını aradığı göz önünde bulundurulursa hedeflenen bilgi oldukça fazla.
Win32/Georbotdan etkilenen ülkeler:
Ülke
Yüzde
Gürcistan
%70.45
ABD
%5.07
Almanya
%3.88
Rusya
%3.58
Kanada
%1.49
Ukrayna
%1.49
Fransa
%1.19
Diğer
%12.83