Gauss – Novo kompleksno kiber orožje nad bančne račune

Kaspersky Lab je naznanil odkritje Gaussa, ki je nova kiber grožnja usmerjena zoper uporabnike Bližnjega vzhoda. Gauss je kompleksno orodje za vohunjenje namenjeno kraji občutljivih podatkov. Kiber grožnja se osredotoča predvsem na gesla brskalnikov, poverilnice spletnih bančnih računov, piškotke in specifične konfiguracije okuženih računalnikov.

Targetiranje spletnega bančništva s strani trojana najdenega v Gaussu predstavlja unikatno značilnost, ki je do sedaj ni bilo možno najti v nobenem do sedaj znanem kiber orožju.

Gauss je bil odkrit v času intenzivnega preverjanja možnosti tveganj s strani kiber orožji na pobudo International Telecommunication Union (ITU), ki so sledila odkritju Flamea. Prizadevanja so usmerjena k zmanjšanju tveganja, ki ga predstavljajo kiber orožja, in predstavljajo ključno komponento pri doseganju globalnega kiber miru.

ITU je v sodelovanju s strokovnjaki Kaspersky Laba preko aktivnega sodelovanja s svojimi ključnimi partnerji znotraj ITU-IMPACT iniciative in tudi z vsemi relevantnimi interesnimi skupinami (vlade, privatni sektor, mednarodne organizacije in civilna družba) naredila pomemben korak h krepitvi globalne kiber varnosti.

Strokovnjaki Kaspersky Laba so odkrili Gauss preko identificiranja podobnosti z zlonamernim programom Flame. Med njimi so si bile podobne arhitekture platform, struktura modulov, kodne osnove in načini komuniciranja z C&C strežniki.

Zlonamerni program je bil odkrit s strani strokovnjakov Kaspersky Laba v juniju 2012. Njegov glavni modul je bil poimenovan s strani neznanih kreatorjev po nemškem matematiku Johann Carl Friedrich Gauss. Ostale komponente prav tako nosijo imena znanih matematikov (Joseph-Louis Lagrange in Kurt Gödel). Raziskava je pokazala, da prvo srečanje z Gaussom sega nazaj vse do septembra 2011. V juliju 2012 je Gaussov C&C strežnik prenehal delovati.

Številni Gaussovi moduli služijo namenu kraje informacij iz brskalnikov, ki vključujejo zgodovino obiskanih spletnih strani in gesel. Podrobni podatki shranjeni na okuženi napravi so prav tako poslani napadalcem, vključno z specifiko omrežnih vmesnikov, gonilnikov in BIOS informacijami. Gaussov modul je prav tako zmožen kraje podatkov klientov številnih libanonskih bank, vključno z Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank and Credit Libanais. Usmerjen je tudi zoper uporabnike Citibank in Paypal.

Druga ključna značilnost Gaussa je njegova zmožnost okužbe USB pogona z uporabo enake LNK ranljivosti, ki je bila že uporabljena pri Stuxnetu in Flameu. Vendar pa je postopek okužbe USB pogona mnogo inteligentnejši. Gauss je zmožen pogon pod določenimi okoliščinami »dezinfekcirati«, pri čemer uporablja odstranljiv medij za hrambo prenesenih informacij v skriti datoteki. Še ena aktivnost trojana je namestitev posebne pisave imenovane Palida narrow, katere namen je še neznan.

Glede na način nastanka je Gauss podoben Flameu, vendar pa je geografija okužb opazno drugačna. Večje število računalnikov prizadetih s strani Flamea je bilo zaznanih v Iranu, medtem ko je večina okuženih računalnikov s strani Gauss-a iz Libanona. Število okužb je prav tako različno. Glede na telemetrijo zaznano s strani varnostne mreže Kaspersky je Gauss okužil približno 2.500 naprav. Pri Flameu je bilo število okužb znatno nižje, približno 700 naprav.

Kljub temu da natančna metoda, ki se je uporabljala za okužbo računalnikov še ni znana, je jasno, da Gauss deluje na drugačen način kot Flame in Duqu. Kljub temu pa z določenimi podobnostmi s prejšnjima dvema kiber orožjema namenjena vohunjenju, kot je Gaussov način širjenja okužb, ki poteka na nadzorovan način, ki poudarja prikritost in tajnost operacije.

Alexander Gostev glavni strokovnjak za varnost v Kaspersky Labu je dejal: »Gauss ima osupljive podobnosti s Flameom, kot je način s katerim je bil ustvarjen in njegova kodna osnova, ki nam je omogočila, da smo odkrili zlonamerni program. Podobno kot Flame in Duqu, je Gauss kompleksno kiber orožje ustvarjeno za vohunjenje, oblikovano na način, ki poudarja njegovo prikritost in tajnost; vendar pa je njegov namen drugačen od Flame-vega in Duqujevega. Gauss napada številne uporabnike v izbranih državah z namenom kraje velikih količin podatkov, s posebnim apetitom po bančnih in finančnih informacijh.«

V tem trenutku je Gaussov trojan uspešno zaznan, blokiran in v mirujočem stanju s strani produktov Kaspersky Laba in kvalificiran kot Trojan-Spy.Win32.Gauss.

Strokovnjaki Kaspersky Lab-a so objavili poglobljeno analizo zlonamernega programa na Securelist.com:

http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution

Gaussov FAQ, ki vsebuje bistvene informacije o grožnji je na voljo:

http://www.securelist.com/en/blog?weblogid=208193767