Компания ESET, которая занимается разработкой антивирусного ПО, распространила информацию об обнаружении ботнетсети, управляемый через официальный сайт правительства Грузии, которая была создана ” с целью похищение документов и цифровых сертификатов с зараженных компьютеров”. Правительственная канцелярия Грузии опровергает эту информацию.
В начале года сотрудниками ESET выявили ботнет, который получил название Win32/Georbot. Целью его создания является похищение документов и цифровых сертификатов, а также поиск на инфицированном ПК файлов конфигурации RDP (Remote Desktop Connection) с целью дальнейшего хищения и получения несанкционированного доступа к ним. Кроме того, бот способен создавать аудио- и видео-записи и собирать информацию о локальной сети. И по мнению компании, управляющие команды исходят с официального сайта правительства Грузии.
«Но этот факт вовсе не означает, что правительство Грузии занимается управлением данной вредоносной программой. Довольно часто организации не знают о том, что их серверы были скомпрометированы, – говорит Пьер-Марк Бюро, руководитель программы глобального мониторинга вредоносной активности ESET. – Однако, Министерство юстиции Грузии и CERT (Команда быстрого реагирования на компьютерные инциденты) были полностью осведомлены о ситуации. Расследование данного инцидента все еще продолжается, и с нашей стороны мы не прекращаем мониторинг».
На сегодняшний день ботсеть Georbot по-прежнему активна. Из всех зараженных компьютеров, которые удалось обнаружить, 70% находились в Грузии, затем следует США со значительно более низким показателем (5.07%), далее идёт Германия (3.88%).
В свою очередь, в правительственной канцелярии Грузии опровергли эту информацию, назвав её “абсурдной, беспочвенной и не соответствующей действительности”, отмечает издание “Новости-Грузия”. При этом в канцелярии подчеркнули, что никаких сведений от самой ESET они не получали и затрудняются ответить на вопрос, зачем Еset понадобилось распространение подобной дезинформации.
Отметим, что сайт правительства Грузии на момент написания новости оставался недоступным.