Антигрузинские спамеры построят новый ботнет

Хакеры, нацеленные на Грузию в в разгар конфликта с Россией начали рассылать новую партию вредоносных спам-сообщений, по-видимому, с целью создания новой сети бот-сетей компьютеров с дистанционным управлением.

Слабо сформулированные сообщения начали выходить рано утром в пятницу, и по словам Гэри Уорнера, директора по компьютерным исследованиям и судебно-медицинской экспертизе в университете, составляют около пяти процентов трафика спама, измеренного Университетом штата Алабама в Бирмингемском спам-банне. Это около трети объема спама, связанного с CNN и MSNBC, который наводнял вложенные ящики на этой неделе, но он по-прежнему значителен, сказал он.

С такими заголовками, как «Михайл Саакашвили, гей-скандал! Новинка этой недели!» рассказы пытаются обмануть жертв, нажав на фальшивую историю Би-би-си о президенте Грузии. Однако, когда жертва нажимает на ссылку, он попадает на вредоносный веб-сервер, который затем пытается заразить его компьютер.

Вряд ли код атаки, используемый этим веб-сервером, не блокируется большинством антивирусных продуктов, сказал Уорнер. В тестах его команда обнаружила, что только четыре из 36 антивирусных продуктов, обнаруженных в службе тестирования вирусов Total, обнаружили код.

До сих пор команда Warner отслеживала сообщения на 44 компьютерах, отправляющих спам, ни один из которых ранее был связан с нежелательной электронной почтой. Интересно, что шесть из этих компьютеров расположены в России, что редко является прямым источником спама, и один из них находится в Министерстве образования России.

Хотя спамеры, похоже, создают ботнет, конечное использование эта сеть остается неясной. Уорнер предположил, что он может быть использован для дальнейшего кибератаки против грузинских правительственных компьютеров.

Symantec определила вредоносное ПО как вариант программы Trojan.Blusod, сказал Кевин Хейли, директор по управлению продуктами Symantec Security Response. В прошлом спамеры использовали эту программу для установки поддельного антивирусного программного обеспечения на компьютеры жертвы, что затем ложно идентифицирует проблемы и предложения по их очистке за определенную плату, сказал он.

Warner оспаривает анализ Symantec, отмечая, что сам Symantec не был обнаружение троянской программы, согласно Virus Total. «Это новое вредоносное ПО», - сказал он.

Вопрос о том, участвуют ли Грузия и Россия в финансировании государством кибербезопасности, стал предметом некоторых дебатов после того, как 7 августа начались военные действия между двумя странами.

В понедельник Грузия переместила свой веб-сайт Министерства иностранных дел в Google Blogspot, заявив, что российская кибератака отключила свой сервер в автономном режиме.

Эксперты по безопасности говорят, что, хотя недавние грузинские кибератаки более интенсивны, начатый год назад против Эстонии, нет никаких доказательств того, что любое из этих событий было фактически финансируемым государством кибер-войной.

Некоторые сравнили эти события с «кибер-дракой», когда националистические российские хакеры начали спонтанные компьютерные атаки против соседних Эстония.

«Я думаю, что это почти то, что мы видели в Эстонии», - сказал Уорнер о недавних событиях в Грузии. «Я действительно сомневаюсь, что это какое-то действие со стороны российского правительства».