Kaspersky Lab wykrywa "Gaussa" - nowe złożone cyberzagrożenie, którego celem jest monitorowanie kont bankowości online na Bliskim Wschodzie

Kaspersky Lab informuje o wykryciu "Gaussa", nowego cyberzagrożenia atakujÄ…cego użytkowników na Bliskim Wschodzie. Gauss to zÅ‚ożony, finansowany przez rzÄ…d zestaw narzÄ™dzi przeznaczony do kradzieży poufnych danych, gÅ‚ównie haseÅ‚ w przeglÄ…darkach, danych uwierzytelniajÄ…cych zwiÄ…zanych z bankowoÅ›ciÄ… online, ciasteczek oraz okreÅ›lonych konfiguracji zainfekowanych maszyn.

Funkcja trojana bankowego zidentyfikowana w Gaussie stanowi nietypową cechę, niespotkaną w żadnej znanej wcześniej cyberbroni.



Gauss zostaÅ‚ wykryty podczas trwajÄ…cej inicjatywy zapoczÄ…tkowanej przez International Telecommunication Union (ITU) po wykryciu Flame'a. Jej celem jest zmniejszenie ryzyka ze strony cyberbroni, co stanowi kluczowy element dziaÅ‚aÅ„ zmierzajÄ…cych do osiÄ…gniÄ™cia nadrzÄ™dnego celu, jakim jest globalny cyberpokój.

ITU, wspierany wiedzÄ… i doÅ›wiadczeniem Kaspersky Lab, podejmuje istotne dziaÅ‚ania w celu zwiÄ™kszenia globalnego cyberbezpieczeÅ„stwa poprzez aktywnÄ… wspóÅ‚pracÄ™ z wszystkimi istotnymi graczami, takimi jak rzÄ…dy, sektor prywatny, miÄ™dzynarodowe organizacje i spoÅ‚eczeÅ„stwo, jak również swoimi kluczowymi partnerami w ramach inicjatywy ITU-IMPACT.

Eksperci z Kaspersky Lab wykryli Gaussa poprzez zidentyfikowanie cech wspólnych tego szkodliwego programu ze zidentyfikowanÄ… wczeÅ›niej cyberbroniÄ… Flame. ObejmujÄ… one podobieÅ„stwa w architekturze, strukturze moduÅ‚ów, kodzie oraz sposobach komunikacji z serwerami wykorzystywanymi przez cyberprzestÄ™pców do kontrolowania tych zagrożeÅ„.

Najważniejsze fakty

  • Analiza wskazuje, że Gauss funkcjonuje od wrzeÅ›nia 2011 r.
  • Po raz pierwszy zostaÅ‚ wykryty w czerwcu 2012 na podstawie informacji uzyskanych w wyniku dogÅ‚Ä™bnej analizy i badaÅ„ przeprowadzonych na szkodniku Flame.
  • Odkrycie to byÅ‚o możliwe dziÄ™ki wyraźnym podobieÅ„stwom i zwiÄ…zkom miÄ™dzy Flamem i Gaussem.
  • Infrastruktura serwerów kontrolujÄ…cych Gaussa zostaÅ‚a zamkniÄ™ta w lipcu 2012 r., niedÅ‚ugo po wykryciu go. Obecnie szkodnik ten znajduje siÄ™ w stanie uÅ›pienia, czekajÄ…c, aż serwery znów stanÄ… siÄ™ aktywne.
  • Od koÅ„ca maja 2012 r. oparty na chmurze system bezpieczeÅ„stwa firmy Kaspersky Lab zarejestrowaÅ‚ ponad 2 500 infekcji, a Å‚Ä…czna liczba ofiar Gaussa szacowana jest na dziesiÄ…tki tysiÄ™cy. Liczba ta jest niższa w porównaniu ze Stuxnetem, ale stosunkowo wyższa niż w przypadku Flame'a oraz Duqu.
  • Gauss kradnie szczegóÅ‚owe informacje o zainfekowanych komputerach PC, Å‚Ä…cznie z historiÄ… przeglÄ…darki, ciasteczkami, hasÅ‚ami oraz konfiguracjami systemu. Potrafi również kraść dane uwierzytelniajÄ…ce dostÄ™p do różnych systemów bankowoÅ›ci online oraz metod pÅ‚atnoÅ›ci.
  • Z analizy Gaussa wynika, że szkodnik ten zostaÅ‚ stworzony w celu kradzieży danych z kilku libaÅ„skich banków, w tym Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank oraz Credit Libanais. Ponadto, atakuje również użytkowników Citibanku oraz PayPala.

Gauss zostaÅ‚ wykryty przez ekspertów Kaspersky Lab w czerwcu 2012 r. Jego gÅ‚ówny moduÅ‚ zostaÅ‚ nazwany przez nieznanych twórców od nazwiska niemieckiego matematyka Johanna Carla Friedricha Gaussa. Inne komponenty również noszÄ… nazwy sÅ‚awnych matematyków, np. Joseph-Louis Lagrange czy Kurt Gödel. Badanie wykazaÅ‚o, że pierwsze incydenty z udziaÅ‚em Gaussa miaÅ‚y miejsce już we wrzeÅ›niu 2011 r. W lipcu 2012 r. serwery kontroli Gaussa przestaÅ‚y dziaÅ‚ać.

Liczne moduÅ‚y Gaussa sÅ‚użą do gromadzenia informacji z przeglÄ…darek, Å‚Ä…cznie z historiÄ… odwiedzanych stron i hasÅ‚ami. Do osób atakujÄ…cych przesyÅ‚ane sÄ… również szczegóÅ‚owe dane dotyczÄ…ce zainfekowanej maszyny, w tym dane dotyczÄ…ce interfejsów sieciowych, sterowników komputerowych oraz informacje o BIOS-ie. ModuÅ‚ Gaussa potrafi również kraść dane klientów kilku libaÅ„skich banków, w tym Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank oraz Credit Libanais. Atakuje również użytkowników Citibanku i PayPala.

InnÄ… gÅ‚ównÄ… funkcjÄ… Gaussa jest zdolność infekowania urzÄ…dzeÅ„ USB za poÅ›rednictwem tej samej luki, którÄ… wykorzystywaÅ‚ wczeÅ›niej Stuxnet i Flame. Proces infekowania urzÄ…dzeÅ„ USB jest jednak w tym przypadku bardziej "inteligentny". Gauss potrafi "wyleczyć" takie urzÄ…dzenie w niektórych okolicznoÅ›ciach i wykorzystuje noÅ›nik wymienny do przechowywania zgromadzonych informacji w ukrytym pliku. Innym dziaÅ‚aniem trojana jest instalowanie w systemie specjalnej czcionki o nazwie "Palida Narrow", jednak cel tej czynnoÅ›ci nadal nie jest znany.

O ile Gauss przypomina Flame'a pod wzglÄ™dem projektu, rozkÅ‚ad geograficzny infekcji jest już wyraźnie inny. NajwiÄ™ksza liczba komputerów zainfekowanych przez Flame'a zostaÅ‚a odnotowana w Iranie, natomiast wiÄ™kszość ofiar Gaussa byÅ‚o zlokalizowanych w Libanie. Liczba infekcji również jest inna. Na podstawie telemetrii Kaspersky Security Network (KSN), eksperci z Kaspersky Lab ustalili, że Gauss zainfekowaÅ‚ okoÅ‚o 2 500 maszyn. Dla porównania, Flame zainfekowaÅ‚ znacznie mniej, bo prawie 700 maszyn.


Rozkład geograficzny infekcji trojanem Gauss




RozkÅ‚ad geograficzny incydentów zwiÄ…zanych z cyberbroniami Gauss, Flame oraz Duqu
Kliknij, aby powiększyć



Chociaż dokÅ‚adna metoda wykorzystywana do infekowania komputerów nie jest jeszcze znana, nie ma wÄ…tpliwoÅ›ci, że Gauss rozprzestrzenia siÄ™ w inny sposób niż Flame czy Duqu. Jednak, podobnie jak w przypadku dwóch poprzednich broni cyberszpiegowskich, rozprzestrzenianie Gaussa odbywa siÄ™ w sposób kontrolowany, sugerujÄ…cy dyskrecjÄ™ caÅ‚ej operacji.

Aleksander Gostiew, gÅ‚ówny ekspert ds. bezpieczeÅ„stwa, Kaspersky Lab, powiedziaÅ‚: "Gauss wykazuje uderzajÄ…ce podobieÅ„stwa do Flame'a, w projekcie oraz podstawie kodu, co pozwoliÅ‚o nam wykryć ten szkodliwy program. Tak samo jak Flame i Duqu, Gauss to zÅ‚ożony zestaw narzÄ™dzi cyberszpiegowskich, którego struktura sugeruje, że szkodnik ten miaÅ‚ dziaÅ‚ać w ukryciu, jednak jego cel różniÅ‚ siÄ™ od przeznaczenia Flame'a czy Duqu. Gauss atakuje użytkowników w wybranych krajach w celu kradzieży ogromnych iloÅ›ci danych, w szczególnoÅ›ci informacji bankowych oraz finansowych".

Trojan Gauss, sklasyfikowany przez Kaspersky Lab jako Trojan-Spy.Win32.Gauss, jest skutecznie wykrywany, blokowany i usuwany przez produkty firmy.

 

ŹródÅ‚o:
Kaspersky Lab