Nieuwe Russische cyberaanval op Georgië
Gepubliceerd: Maandag 18 augustus 2008
Auteur: Marijn Akerboom
Pro-Russische hackers hebben dit weekend een grote partij nieuwe spam verstuurd. Met een nieuw botnet willen ze een nieuwe aanval inzetten op de Georgische overheid.
De spamberichten, die barsten van de Engelse spelfouten, werden afgelopen vrijdag voor het eerst gesignaleerd. Volgens Gary Warner, directeur van de universitaire researchafdeling, maakte de spam afgelopen vrijdag zo'n 5 procent van al het spamverkeer uit.
Met titels als 'Mikheil Saakashvili gay scandal!' proberen de Russische spammers de aandacht te trekken van nietsvermoedende slachtoffers. De link naar een BBC-nieuwsbericht leidt in werkelijkheid echter naar een website die geïnfecteerd is met een Trojaans paard. Warner waarschuwt dat de viruscode op dit moment slechts door enkele antivirusprogramma's wordt herkend.
Opzetten nieuw botnet
Tot zover heeft Warner's team de mailberichten teruggeleid tot 44 computers. Opvallend is dat zes van deze systemen zich bevinden in Rusland, zelden een directe bron van spam. Eén computer werd getraceerd in het Russische ministerie van onderwijs. Naar verwachting proberen de spammers een botnet op te zetten, maar het precieze doel hiervan is onbekend. Waarschijnlijk zou het netwerk in de toekomst nieuwe cyberaanvallen tegen de Georgische overheid moeten gaan ondersteunen.
Symantec heeft de trojan inmiddels geïdentificeerd als een variant op het Blusod-virus. In het verleden werd dit virus gebruikt om valse antivirus-software op de computer van het slachtoffer te installeren. Volgens Kevin Haley van Symantec meldde het programma gefingeerde problemen, die het slachtoffer vervolgens tegen betaling kon verhelpen.
Warner ontkent de lezing van Symantec. "Dit is nieuwe malware. Zelfs Symantec kan de trojan nog niet detecteren."
Staatsinmenging?
Ondertussen blijft de vraag of de overheden van Rusland en Georgië zelf iets te maken hebben met de vijandigheden op internet. Vorige week maandag verhuisde het Georgische ministerie van buitenlandse zaken zijn website naar Google's Blogspot, naar verluidt omdat de server eerder werd platgelegd door Rusland. Volgens beveiligingsexperts zijn de huidige cyberaanvallen heviger dan die van vorig jaar tegen Estland, maar dat is volgens Warner nog geen bewijs dat de Russische overheid erachter zit.
