Bilgi hırsızı truva atı ve botnet, Gürcistan’dan yayılıyor. Sanal tehditlere karşı proaktif korumanın lideri ESET araştırmacıları, ilginç iletişim teknikleri kullanan bir botnet keşfetti. Sertifika ve dokümanları çalmayı amaçlayan “W32/Georbot” adlı truva atı, aynı zamanda bulaştığı makineden web kamerası aracılığı ile ses ve görüntü kaydedebilme ve yerel ağ içerisinde gezinebilme gibi yeteneklere de sahip.
Truva atı, kendini güncellemek için enteresan bir şekilde Gürcistan devletine ait bir siteyi kullanıyor, bu nedenle ESET araştırmacıları özellikle Gürcistanlı kullanıcıların hedeflediğini düşünüyor. Etkilenmiş makinelerin, % 70’i Gürcistan’da. Onu Amerika, Almanya ve Rusya takip ediyor.
“W32/Georbot” adlı bulaşıcı yazılımın başka bir özelliği ise “uzak masaüstü yapılandırma” dosyalarını çalması ve bu sayede bilgisayar kullanıcısının herhangi bir açığını kullanmadan sisteme sızma olanağı vermesi. Üstelik bu zararlı yazılımın geliştirilmesine halen devam ediliyor, ESET’in rastladığı en güncel sürüm 20 Mart tarihini taşıyor. W32/Georbot’un binlerce bilgisayara yayılmasıyla oluşan botnet, aynı zamanda bir yedek mekanizmaya sahip. Sunucularına erişemediği durumlarda Gürcistan Devleti tarafından barındırılan bir sisteme eklenmiş özel bir web sitesine erişiyor.
“Hemen aklınıza Gürcistan hükümetinin işin içinde olduğu gelmesin. İnsanların sistemlerine bulaşan zararlı yazılımlardan genelde haberi olmuyor” diye not düşen ESET Güvenlik Müdürü Pierre-Marc Bureau, ayrıca Gürcistan Adalet Bakanlığı Veri Dolaşım Ajansı’nın bu durumdan haberdar olduğunu ve kendi soruşturmalarının yanı sıra ESET ile de işbirliği içerisinde olduklarını dile getiriyor. Etkilenmiş makinelerin % 70’i Gürcistan’da. Gürcistan’ı Amerika, Almanya ve Rusya takip ediyor. Türkiye’de henüz bir tespit söz konusu değil.
Gizli devlet bilgilerine mi ulaşmaya çalışıyor?
ESET araştırmacıları botnet’in yönetim paneline de erişmeyi başardı ve bu sayede etkilenen makinelerin yerlerini belirledi. Bu konudaki en ilginç gelişme ise yönetim panelinde bulunan ve etkilenen sistemlerde hedeflenen dokümanların içeriğine ait bir liste. Listedeki kelimelerden bazıları; “bakanlık, servis, gizli, ajan, ABD, Rusya, FBI, CIA, silah, FSB, KGB, telefon, numara” şeklinde sıralanıyor.
Devlet operasyonu değil
Bureau’ya göre web kamerası aracılığı ile kayıt, ekran görüntüsü, DDOS saldırısı gibi özellikler birden fazla defa kullanılmış. Komutlarını güncellemek için Gürcistan kaynaklı bir siteyi kullanıyor olması ilk bakışta Gürcistan halkının birincil hedef olduğunu düşündürüyor. Fakat diğer yandan bu tehdit pek de karmaşık değil. ESET araştırmacılarına göre bu türden bir operasyon devlet destekli yapılıyor olsaydı daha profesyonel ve gizli olması gerekirdi. En akla yakın teori Win32/Georbot’un bir grup sanal suçlu tarafından gizli bilgileri çalarak diğer organizasyonlara satmak amacı ile geliştirilmiş olması.
Sanal suçlar giderek profesyonelleşiyor
ESET Araştırmacısı Righard Zwienenberg’e göre “Büyük oyuncular sahaya girdikçe sanal suçlar daha profesyonel ve hedefe yönelik duruma geliyor. W32/Stuxnet ve W32/Duqu bu türden hedefe yönelik, ileri teknoloji sanal suçlara birer örnek ve daha az karmaşık olsa da W32/Georbot’un da kendine has bazı yeni özellikleri mevcut. W32/Georbot’un “uzak masaüstü yapılandırma” dosyalarını aradığı göz önünde bulundurulursa hedeflenen bilgi oldukça fazla.”
Win32/Georbot’dan etkilenen ülkeler:
Ülke Yüzde
Gürcistan %70.45
ABD %5.07
Almanya %3.88
Rusya %3.58
Kanada %1.49
Ukrayna %1.49
Fransa %1.19
Diğer %12.83