Un virus de pe computer ?i smartphone, cea mai modern? metod? de spionaj

81

Kaspersky Lab anun?? descoperirea lui Gauss, un nou malware care atac? utilizatorii din Orientul Mijlociu. Gauss este un instrument de spionaj cibernetic finan?at de stat. El a fost creat pentru a fura informa?ii confiden?iale, cu prec?dere parolele introduse în browser, datele de autentificare pentru conturile de online banking, cookie-uri ?i configura?iile specifice ale computerelor infectate.

 

Func?ionalitatea de troian pentru conturile de online banking identificat? în Gauss reprezint? o caracteristic? unic?, nemaiîntâlnit? pân? acum în instrumentele de spionaj cibernetic finanta?e de state. 

 

Gauss a fost descoperit în timpul cercet?rilor ini?iate de Uniunea Interna?ional? a Telecomunica?iilor (ITU) imediat dup? descoperirea Flame. Eforturile acestei organiza?ii au rolul de a diminua riscurile cauzate de amenin??rile informatice, cu scopul men?inerii p?cii în mediul cibernetic.

 

ITU, prin expertiza oferit? de Kaspersky Lab, contribuie la înt?rirea securit??ii cibernetice globale prin implicarea activ? a guvernelor, sectorului privat, organiza?iilor interna?ionale ?i a societ??ii civile, pe lâng? partenerii activi din cadrul ini?iativei ITU-IMPACT.

 

Exper?ii Kaspersky Lab au descoperit Gauss prin identificarea unor asem?n?ri cu Flame. Printre acestea se num?r? platforma similar?, structurile modulelor componente, codurile de criptare ?i c?ile de comunicare cu serverele de comand? ?i control (C&C).

 

Sumar

·         Gauss a devenit opera?ional în luna septembrie 2011. A fost identificat în iunie 2012, ca urmare a informa?iilor strânse în timpul analizei în profunzime ?i a cercet?rii realizate pentru virusul Flame.

·         Descoperirea a fost posibil? datorit? asem?n?rilor puternice dintre Flame ?i Gauss.

·         Infrastructura C&C a Gauss a fost închis? în iulie 2012, la scurt timp dup? ce malware-ul a fost descoperit. În momentul de fa??, Gauss se afl? în stare latent?, a?teptând reactivarea serverelor de comand? ?i control (C&C).

·         De la finalul lunii mai 2012, peste 2500 de infec?ii au fost înregistrate de sistemul de securitate „cloud“ al Kaspersky Lab, cu un num?r de victime total estimat la nivelul zecilor de mii. Num?rul este mai mic decât cel al victimelor Stuxnet, dar mai ridicat decât cel al victimelor Flame ?i Duqu.

·         Gauss fur? informa?ii detaliate despre PC-ul infectat, inclusiv istoricul browser-ului, cookie-uri, parole ?i configura?ii de sistem. De asemenea, este capabil s? adune datele de autentificare pentru diferite sisteme de plat? online ?i conturi de online banking.

·         Analiza Gauss dezv?luie faptul c? a fost creat pentru a fura date de la diferite b?nci, în special banci libaneze, precum Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank ?i Credit Libanais. În plus, acesta ?intea ?i clien?ii Citibank ?i PayPal.

 

Modulul principal al acestui malware a fost numit de c?tre creatorii s?i dup? matematicianul de origine german?, Johann Carl Friedrich Gauss. De asemenea, alte componente ale acestuia poart? numele unor matematicieni sau filosofi celebri, ca Joseph Louis Lagrange ?i Kurt Gödel. Investiga?iile au dezv?luit faptul c? primele incidente informatice atribuite lui Gauss dateaz? din luna septembrie 2011. În iulie 2012, serverele de comand? ?i control ale acestuia au încetat s? mai func?ioneze.

 

Mai multe module ale lui Gauss au rolul de a colecta informa?ii din browser-ele web, inclusiv a istoricului site-urilor vizitate ?i a parolelor. Atacatorilor le sunt trimise ?i detalii referitoare la computerul infectat, date specifice interfe?elor de re?ea, driver-elor de sistem ?i informa?ii despre BIOS. Gauss este capabil s? fure date de la clien?ii unor b?nci libaneze, precum Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank ?i Credit Libanais. În plus, acesta ?intea ?i clien?ii Citibank ?i PayPal.

 

Un alt atribut-cheie a noii amenin??ri informatice este acela de a infecta stick-uri USB, folosind aceea?i vulnerabilitate LNK, identificat? în Stuxnet ?i Flame. Îns?, procesul de infectare prin USB este mult mai inteligent – Gauss are capacitatea de a „dezinfecta” stick-ul în anumite circumstan?e ?i folose?te dispozitivul pentru a stoca informa?iile furate într-un fi?ier ascuns. Pe lâng? acestea, troianul instaleaz? un font special – Palida Narrow – al c?rui scop nu a fost înc? identificat.

 

Cu toate c? Gauss este foarte asem?n?tor cu Flame, geografia infec?iilor este diferit?. Cele mai multe computere infectate de Flame se aflau în Iran, în timp ce majoritatea victimelor lui Gauss sunt localizate în Liban. Num?rul infec?iilor este, de asemenea, diferit. Cifrele Kaspersky Security Network (KSN) arat? c? acesta a infectat aproximativ 2500 de computere, comparativ cu cele 700 compromise cu Flame.

 

Cu toate c? metoda exact? folosit? pentru infectarea PC-urilor nu este cunoscut? înc?, nu exist? niciun dubiu în faptul c? Gauss se r?spânde?te diferit fa?? de Flame sau Duqu. Cu toate acestea, asemenea ultimelor dou? arme cibernetice descoperite, mecanismele de propagare sunt realizate într-o manier? controlat?, cu accent pe camuflarea ?i p?strarea secret? a opera?iunilor.

 

„Gauss seam?n? izbitor cu Flame atât la design, cât ?i la nivelul bazei de cod, lucru care ne-a ajutat la identificarea lui”, spune Alexander Gostev, Chief Security Expert la Kaspersky Lab. „Asemenea lui Flame ?i Duqu, Gauss este un instrument complex de spionaj cibernetic, cu un design creat special pentru camuflaj. Îns? scopul lui a fost diferit de cel al Duqu ?i Flame – Gauss ?inte?te utilizatori din mai multe ??ri, pentru a fura cantit??i mari de date, în special informa?ii financiare ?i de banking”, completeaz? Gostev.

 

În momentul de fa??, troianul Gauss este blocat ?i ?ters cu succes de c?tre toate suitele de securitate Kaspersky Lab. Acesta este identificat sub numele Trojan-Spy.Win32.Gauss.