Spamerzy anty-gruzińscy budują nowy botnet

Hakerzy atakujący Gruzję w w środku konfliktu z Rosją zaczęto wysyłać nową partię złośliwych wiadomości spamowych, najwyraźniej w celu zbudowania nowej sieci zdalnie sterowanych komputerów z botnetami.

Wiadomości o słabej treści zaczęły wychodzić wcześnie w piątek rano, a obecnie stanowi blisko pięć procent ruchu spamowego mierzonego przez University of Alabama w Birmingham Spam Data Mine, według Gary'ego Warnera, dyrektora informatyki i kryminalistyki na uniwersytecie. To około jednej trzeciej wolumenu spamu związanego z CNN i MSNBC, który w tym tygodniu zalał skrzynki pocztowe, ale nadal jest znaczący, powiedział. "

Z nagłówkami takimi jak" Micheil Saakashvili gejowski skandal! "Nowość tego tygodnia!" historie próbują oszukać ofiary w kliknięciu fałszywej opowieści BBC o prezydencie Gruzji. Kiedy ofiara kliknie na link, zostaje on przeniesiony na szkodliwy serwer sieciowy, który próbuje zainfekować swój komputer.

Niepokojąco, kod ataku użyty przez ten serwer nie jest blokowany przez większość produktów antywirusowych, powiedział Warner. Podczas testów jego zespół odkrył, że tylko cztery z 36 produktów antywirusowych, które znalazły się w usłudze testowania szkodliwego oprogramowania Virus Total, wykryły kod.

Do tej pory zespół Warnera wyśledził komunikaty do 44 komputerów wysyłających spam, z których żaden nie był wcześniej kojarzony z wiadomościami-śmieciami. Co ciekawe, sześć z tych komputerów znajduje się w Rosji, która rzadko jest bezpośrednim źródłem spamu, a jedna z nich znajduje się w rosyjskim Ministerstwie Edukacji.

Chociaż spamerzy wydają się konfigurować botnet, ostateczne wykorzystanie ta sieć pozostaje niejasna. Warner spekulował, że można go wykorzystać do przeprowadzenia kolejnych cyberataków przeciwko komputerom administracji Gruzji. ​​

Firma Symantec zidentyfikowała złośliwe oprogramowanie jako odmianę programu Trojan.Blusod, powiedział Kevin Haley, dyrektor ds. Zarządzania produktami za pomocą Symantec Security Response. W przeszłości spamerzy używali tego programu do instalowania fałszywego oprogramowania antywirusowego na komputerach ofiary, który następnie fałszywie identyfikuje problemy i oferuje ich oczyszczanie za opłatą, powiedział.

Warner zakwestionował analizę firmy Symantec, zauważając, że sam Symantec nie był wykrywanie programu trojańskiego, zgodnie z Virus Total. "To nowe złośliwe oprogramowanie", powiedział.

Pytanie, czy Gruzja i Rosja angażują się w finansowaną przez państwo cyber-walkę, było przedmiotem debaty, po wybuchu działań wojennych między oboma krajami 7 sierpnia.

W poniedziałek Gruzja przeniosła stronę internetową Ministerstwa Spraw Zagranicznych do Blogspotu Google, twierdząc, że rosyjski cyberatak spowodował wyłączenie serwera.

Eksperci ds. Bezpieczeństwa twierdzą, że podczas gdy ostatnie gruzińskie cyberataki są bardziej intensywne niż te uruchomiona rok temu przeciwko Estonii, nie ma dowodów na to, że którekolwiek z wydarzeń było w rzeczywistości finansowaną przez państwo cyber-wojną.

Niektórzy porównali te wydarzenia do "bójki w cyberprzestrzeni", a nacjonalistyczni rosyjscy hakerzy rozpoczęli spontaniczne ataki komputerowe na sąsiednie Estonia

"Myślę, że prawie dokładnie to, co widzieliśmy w Estonii", powiedział Warner o ostatnich wydarzeniach w Gruzji. "Naprawdę wątpię, by to było jakiekolwiek działanie rosyjskiego rządu."