Создателей сети зараженных компьютеров (ботнета) интересуют документы с любопытным набором ключевых слов, среди которых есть слова «министерство», «служба», «секретно», «говорит», «агент», «США», «Россия», «ФБР», «ЦРУ», «оружие», «ФСБ», «КГБ», «телефон», «номер» и др.
Ботсеть, получившая название Georbot, ориентирована на пользователей из Грузии.
Специалисты ESET предупредили министерство юстиции Грузии и CERT (команду быстрого реагирования на компьютерные инциденты) о ситуации. Несмотря на это, деятельность ботнета Georobot по сей день не прекращена.
«Этот факт вовсе не означает, что правительство Грузии занимается управлением данной вредоносной программой. Довольно часто организации не знают о том, что их серверы были скомпрометированы», - говорит Пьер-Марк Бюро, менеджер по глобальному мониторингу вредоносной активности ESET. К тому же, вирус чересчур простой для того, чтобы быть государственной разработкой, считают в компании, поэтому с большей долей вероятности он был разработан киберкриминальной группой для торговли секретной информацией.
Но хотя ботнет Georobot не может сравниться с такими вредоносными программами, как Stuxnet и Duqu, он все же «имеет новые уникальные характеристики», подчеркивает Рихард Цвиненберг, главный эксперт по исследованиям и разработкам компании ESET. У Georobot есть механизм обновлений, который позволяет ей скрываться от антивирусных программ, а также резервный механизм получения команд на случай недоступности основного командного центра – это подключение к специальной веб-странице, размещенной на одном сервере с официальным сайтом грузинского правительства.
На момент написания заметки сайт правительства Грузии не открывался.