Специалисты компании обнаружили ботнет Win32/Georbot в начале 2012 года. Его целью является похищение документов и цифровых сертификатов с зараженных компьютеров. В частности, вредоносная программа искала на компьютерах документы, содержащие ключевые слова "министерство", "секретно", "агент", "ФСБ", "ФБР", "оружие" и другие подобные.
При этом вирус способен записывать видео с веб-камеры жертвы, делать скриншоты его рабочего стола и обновляться, оставаясь незаметным для антивирусов. ESET установил, что ботнет использовался для проведения DDoS-атак.
В качестве резервного канала управления зараженными компьютерами использовалась специальная страница, размещенная на одном сервере с сайтом грузинского правительства. Однако это не означает, что руководство страны было связано с ботнетом, поскольку зачастую организации не знают о том, что их серверы были скомпрометированы, подчеркивает ESET.
Специалисты компании указывают на низкий уровень технологической реализации Win32/Geobot. В случае, если бы создание ботнета спонсировали грузинские власти, то угроза была бы более технически продвинутой и скрытой, считают в ESET. Антивирусная компания уже предупредила Минюст и Команду быстрого реагирования на компьютерные инциденты (CERT) Грузии.
Расследование инцидента еще продолжается. Сайт грузинского правительства на момент написания заметки был недоступен.
По данным ESET, вредоносная программа нацелена в первую очередь на пользователей из Грузии. Из зараженных компьютеров, которые обнаружили специалисты компании, более 70 процентов находились в этой стране. Следом идут пользователи из США (пять процентов), Германии и России (менее четырех процентов каждый). Сам ботнет продолжает действовать: последняя его активность была зафиксирована 20 марта.