«Η KasperskyLab ανακοινώνει τον εντοπισμό του Trojan “Gauss”, μιας νέας κυβερνοαπειλής που στοχεύει χρήστες στη Μέση Ανατολή. Ο Gauss είναι ένα περίπλοκο εργαλείο ηλεκτρονικής κατασκοπείας, το οποίο έχει αναπτυχθεί με κρατική χρηματοδότηση. Στόχος του είναι η υποκλοπή ευαίσθητων δεδομένων.

Η νέα απειλή επικεντρώνεται σε κωδικούς πρόσβασης, στοιχεία online τραπεζικών λογαριασμών και συγκεκριμένες ρυθμίσεις των συστημάτων που προσβάλει. Η λειτουργικότητα onlinebankingTrojan που εντοπίστηκε στον Gauss είναι ένα μοναδικό χαρακτηριστικό, το οποίο δεν είχε εμφανιστεί σε κανένα από τα μέχρι σήμερα γνωστά όπλα του κυβερνοχώρου.

Ο Gauss εντοπίστηκε στο πλαίσιο της τρέχουσας πρωτοβουλίας της Διεθνούς Ένωσης Τηλεπικοινωνιών (ITU), η οποία ξεκίνησε έπειτα από τον εντοπισμό του ιού Flame. Στόχος της πρωτοβουλίας είναι η μείωση των κινδύνων που προκύπτουν από τα διαδικτυακά όπλα, ώστε να επιτευχθεί ο συνολικότερος στόχος της παγκόσμιας ειρήνης στο Διαδίκτυο. Αξιοποιώντας την εξειδίκευση που προσφέρει η KasperskyLab, η ITU κάνει σημαντικά βήματα για την ενίσχυση της ασφάλειας στον κυβερνοχώρο. Στο πλαίσιο αυτό, η ITU συνεργάζεται ενεργά με όλους τους αρμόδιους εταίρους – συμπεριλαμβανομένων κυβερνητικών φορέων, διεθνών οργανισμών, του ιδιωτικού τομέα και της κοινωνίας των πολιτών – πέραν των βασικών της συνεργατών στην πρωτοβουλία “InternationalMulti–lateralPartnershipAgainstCyberthreats” (Διεθνής Πολυμερής Συνεργασία Εναντίον των Κυβερνοαπειλών – IMPACT).

Οι ειδικοί της KasperskyLab ανακάλυψαν την ύπαρξη του Gauss, αναγνωρίζοντας τα κοινά σημεία που μοιράζεται με το κακόβουλο πρόγραμμα Flame. Σε αυτά περιλαμβάνονται η κοινή αρχιτεκτονική πλατφόρμα, οι δομές των βασικών modules, η βάση του κώδικα και τα μέσα επικοινωνίας με command & control (C&C) servers.

Η ανάλυση της νέας απειλής δείχνει ότι η λειτουργία του Gauss ξεκίνησε μέσα στο Σεπτέμβριο του 2011. Εντοπίστηκε για πρώτη φορά τον Ιούνιο του 2012, βάσει της γνώσης που αποκομίστηκε από την ανάλυση και την έρευνα για το κακόβουλο πρόγραμμα Flame. Η C&C υποδομή του Gauss απενεργοποιήθηκε τον Ιούλιο του 2012, λίγο μετά τον εντοπισμό του. Αυτή τη στιγμή, βρίσκεται σε αδρανή κατάσταση, περιμένοντας την ενεργοποίηση των C&Cservers του.

Από τα τέλη Μαΐου του 2012, πάνω από 2,500 επιθέσεις έχουν καταγραφεί στο cloud–based σύστημα ασφάλειας της KasperskyLab, με τον αριθμό των θυμάτων του Gauss να ανέρχεται πιθανώς σε δεκάδες χιλιάδες. Ο αριθμός αυτός είναι χαμηλότερος σε σχέση με τον αντίστοιχο αριθμό επιθέσεων του ιού Stuxnet, αλλά και σημαντικά υψηλότερος σε σχέση με τις επιθέσεις που πραγματοποιήθηκαν από τα κακόβουλα προγράμματα Flame και Duqu.

Ο Gauss υποκλέπτει λεπτομερείς πληροφορίες σχετικά με τους υπολογιστές που προσβάλλει, συμπεριλαμβανομένου του ιστορικού του browser, των cookies, των κωδικών πρόσβασης και των ρυθμίσεων των συστημάτων. Επίσης μπορεί να υποκλέψει στοιχεία πρόσβασης από διάφορα online τραπεζικά συστήματα και συστήματα πληρωμών.

Η ανάλυση του Gauss δείχνει ότι είχε αναπτυχθεί με στόχο την υποκλοπή δεδομένων από διάφορες τράπεζες με έδρα το Λίβανο, όπως η BankofBeirut, η EBLF, η BlomBank, η ByblosBank, η FransaBank και η CreditLibanais. Επιπλέον, το νέο Torjan βάζει στο στόχαστρο χρήστες των υπηρεσιών της Citibank και του PayPal.

Το βασικό module του ιού, του οποίου οι δημιουργοί παραμένουν άγνωστοι, πήρε την ονομασία του από τον Γερμανό μαθηματικό JohannCarlFriedrichGauss. Επίσης, ονόματα γνωστών μαθηματικών, όπως ο Joseph–LouisLagrange και ο KurtGodel, έχουν δοθεί σε άλλα μέρη του ιού.

Διάφορα modules του Gauss συλλέγουν πληροφορίες από browsers, όπως το ιστορικό και οι κωδικοί πρόσβασης. Επίσης, οι επιτιθέμενοι λάμβαναν αναλυτικά δεδομένα για τα συστήματα που προσβάλλονταν από τον ιό, όπως λεπτομέρειες για τα networkinterfaces και τους δίσκους των υπολογιστών, καθώς και πληροφορίες το BIOS των συστημάτων.

Ένα ακόμη βασικό χαρακτηριστικό του Gauss είναι η δυνατότητα να προσβάλλει δίσκους USB, χρησιμοποιώντας την ίδια λειτουργικότητα που χρησιμοποιούσαν και οι ιοί Stuxnet και Flame. Ωστόσο, η διαδικασία που ακολουθεί για τη «μόλυνση» των USB δίσκων είναι πιο έξυπνη. Ο Gauss μπορεί – υπό προϋποθέσεις – να «απολυμάνει» το δίσκο, ενώ χρησιμοποιεί τα αφαιρούμενα μέσα για να αποθηκεύσει τις πληροφορίες που έχει συλλέξει σε ένα κρυμμένο φάκελο. Επίσης, το Trojan αυτό μπορεί να εγκαταστήσει την ειδική γραμματοσειρά “PalidaNarrow”. Ο σκοπός αυτής της δράσης παραμένει ακόμη άγνωστος.

Ενώ ο Gauss έχει παρόμοιο σχεδιασμό με τον Flame, το γεωγραφικό αποτύπωμα της δράσης του είναι σημαντικά διαφορετικό. Οι περισσότεροι υπολογιστές που επλήγησαν από τον Flame εντοπίστηκαν στο Iran, ενώ η πλειοψηφία των θυμάτων του Gauss βρέθηκε στο Λίβανο. Επίσης, υπάρχουν διαφορές στον αριθμό των κρουσμάτων. Βάσει δεδομένων τηλεμετρίας από το KasperskySecurityNetwork (KSN), ο Gauss προσέβαλε περίπου 2,500 συστήματα, ενώ ο Flame περίπου 700.

Παρότι η ακριβής μέθοδος προσβολής δεν είναι ακόμη γνωστή, είναι ξεκάθαρο ότι ο Gauss διαδίδεται με διαφορετικό τρόπο σε σχέση με τα κακόβουλα προγράμματα Flame και Duqu. Εντούτοις, όπως και στις περιπτώσεις των προηγούμενων δύο ιών, η εξάπλωση του Gauss γίνεται ελεγχόμενα, γεγονός που αναδεικνύει τη μυστικότητα και το απόρρητο της λειτουργίας του ιού.

Ο AlexanderGostev, ChiefSecurityExpert της KasperskyLab, σχολίασε: «Ο Gauss φέρει σημαντικές ομοιότητες με τον Flame, όπως ο σχεδιασμός και η βάση του κώδικα, γεγονός που επέτρεψε τον εντοπισμό του. Όπως και οι ιοί Flame και Duqu, ο Gauss είναι ένα περίπλοκο όπλο κατασκοπίας, καθώς έχει σχεδιαστεί με έμφαση στη μυστικότητα και το απόρρητο της λειτουργίας. Ωστόσο, ο σκοπός του ήταν διαφορετικός. Ο Gauss στοχεύει πολλούς χρήστες σε επιλεγμένες χώρες, ώστε να υποκλέψει μεγάλους όγκους δεδομένων – και κυρίως, τραπεζικές και χρηματοοικονομικές πληροφορίες».

Τα προϊόντα της KasperskyLab μπορούν να εντοπίσουν, να αποτρέψουν και να αφαιρέσουν τον Gauss, ο οποίος έχει κατηγοριοποιηθεί με την κωδική ονομασία Trojan–Spy.Win32.Gauss».

Πηγή : ΚΑΘΗΜΕΡΙΝΗ