Oculta tras una red estatal, una botnet robaba secretos de la CIA y el FBI

La red de equipos zombis, geolocalizada en Georgia, recolecta información asociada a términos como “ministro”, “USA”, “Rusia”, “CIA” y “FBI”, entre otros. La compañía ESET Antivirus informó del descubrimiento de esta red botnet que tiene como objetivo el robo de información sensible de índole política.
La amenaza, conocida como Win32/Georbot, utiliza el sitio web gubernamental del estado nacional de Georgia para actualizar su información de comando y control, motivo por el cual se presume que estaría específicamente dirigida a los usuarios de este país, donde se encuentran el 70% de las infecciones. Además, incluye un mecanismo alternativo que, en caso de falla de la conexión entre el equipo infectado y el panel de control de la botnet, redirige a una página web especial alojada en un servidor perteneciente al gobierno de Georgia.

“Esto no significa automáticamente que el gobierno de Georgia se encuentre involucrado. Usualmente las organizaciones pueden no estar al tanto de que sus sistemas han sido comprometidos”, aseguró Pierre-Marc Bureau, Director del Programa de Inteligencia en Seguridad de ESET. “En este caso en particular, la Agencia de Intercambio de Información del Ministerio de Justicia de Georgia se encuentra al tanto de la situación desde el 2011 y, de modo paralelo a su propio monitoreo – que aún se encuentra en curso -, han cooperado con ESET en este asunto”, agregó Bureau.

Entre las principales capacidades de la botnet se encuentran el robo de certificados y documentos de texto, la captura de imágenes de pantalla, la grabación de audios y vídeo por medio del micrófono y la cámara web y la búsqueda de archivos de configuración de servidores remotos.

Los investigadores de ESET también lograron acceder al panel de control de la red de equipos zombies y comprobaron que muchas de las palabras claves que se buscan en los documentos guardados en equipos infectados se encuentran relacionadas a información sensible de tipo política: “ministro”, “servicio”, “secreto”, “agente”, “USA”, “Rusia”, “FBI”, “CIA”, “arma” y “KGB”.

De acuerdo a los especialistas de la compañía, todo indica que la acción no está apoyada por ningún gobierno nacional ya que de ser así los mecanismos empleados serían más profesionales y complejos. Por lo tanto, la hipótesis más aceptada por los investigadores indica que Win32/Georbot  fue creada por un grupo de cibercriminales en busca de información confidencial para ser vendida a otras organizaciones.

“El cibercrimen se está profesionalizando y volviendo cada vez más dirigido, con el ingreso de jugadores de alto peso en el campo. Win32/Stuxnet  y Win32/Duqu son ejemplos de amenazas de alta tecnología que sirvieron para un propósito específico, pero incluso Win32/Georbot  tiene únicas y nuevas características para llegar al núcleo de lo que sus creadores buscan”, concluyó Righard Zwienenberg, Investigador Senior de ESET.

Quien desee acceder al informe completo elaborado por el Laboratorio de ESET puede ingresar a: http://blog.eset.com/wp-content/media_files/ESET_win32georbot_analysis_final.pdf