ESET saugumo tyrėjai nustatė ir išanalizavo kenkėjišką kampaniją, kurios metu programišiai Pietų Korėjos ir Kinijos torentų svetainėse platino galinių durų (angl. „backdoor“) virusą. Kenkėjas, patekęs į užkrėstus kompiuterius, įtraukdavo juos į botnet tinklą ir leisdavo juos valdyti nuotoliniu būdu.
Galinių durų kenkėjas, ESET antivirusinių programų nustatomas kaip „Win64/GoBot2“, saugumo tyrėjų buvo pramintas „GoBotKR“ – kenkėjo pirmtakas yra viešai prieinamas „GoBot2“, kurį programišiai adaptavo konkrečiai rinkai. Labiausiai nuo viruso nukentėjo Pietų Korėja (80 proc. visų nustatymų), Kinija (10 proc.) ir Taivanas (8 proc.).
Išsamus tyrimas atskleidė, kad patekęs į kompiuterį galinių durų kenkėjas pirmiausia surenka duomenis apie kompiuterį: kokia naudojama operacinė sistema, tinklo konfigūracija, įdiegta antivirusinė ir t.t. Visa informacija perduodama valdymo serveriui, kuris nustato, kokius botus naudoti atitinkamai atakai.
Į botnetų tinklą įtrauktas ir kibernetinių nusikaltėlių valdomas kompiuteris gali tapti DDoS atakų sukėlėju, taip pat vykdyti tokius nurodymus, kaip kenksmingų programų kopijavimas į nešiojamas laikmenas ar viešus katalogus debesijos saugyklose, kaip „Dropbox“ ar „Google Drive“, taip pat toliau platinti kenkėjus per torentus.
Pasak ESET Lietuva IT inžinieriaus Ramūno Liuberto, nors ESET telemetrija stebi „GoBotKR“ aktyvumą nuo 2018 m., šis kenkėjas nebuvo užfiksuotas Lietuvoje. Tačiau kitos nepageidaujamos programos, pavyzdžiui, „Win32/Utorrent“, braunasi į Lietuvos kompiuterius per torentų tinklus.
„Diegiant „torrent“ failus siunčiančias programas dažnai kartu įsidiegia ir papildomi įskiepiai, be naudotojo žinios traukiantys iš interneto reklamas, renkantys naršymo statistiką ir kt. Tokiu būdu tiek lėtinamas kompiuterio darbas, tiek apkraunamas interneto srautas. Todėl šiuolaikinės antivirusinės programos ir identifikuoja tokias programas kaip kenkėjiškas“, – teigia R. Liubertas.
Įdomu tai, kad visi kenkėjo „GoBotKR“ valdymo serveriai yra registruoti Pietų Korėjoje vieno ir to paties asmens vardu. Jei virusas nustato, kad kompiuteryje yra įdiegta antivirusinė programa, jis nedelsiant nutraukia savo veiksmus.
