Kaspersky Lab entdeckt Malware “Gauss”

10. August 2012
Viren-News

Kaspersky Lab hat den neuen Schädling „Gauss“ entdeckt, der sich hauptsächlich gegen Anwender im Nahen Osten – vor allem im Libanon - richtet. Gauss ist eine komplexe, offenbar mit staatlichem Hintergrund finanzierte Plattform zur Cyber-Spionage. Ihr Zweck ist der Diebstahl vertraulicher Daten, vor allem von Internet-Passwörtern, Angaben zu Online-Bankkonten, Cookies (zum Speichern persönlicher Einstellungen auf Webseiten) und besonderen Konfigurationsdaten der infizierten Computer.

Es handelt sich hierbei um den ersten Fall, in dem eine Cyberwaffe typische Charakteristiken eines Onlinebanking-Trojaners aufweist.

Gauss bei Folgeuntersuchungen zu Flame entdeckt

Gauss wurde im Rahmen weiterer Untersuchungen von Flame gefunden. Die International Telecommunication Union (ITU) hatte Kaspersky Lab beauftragt, die von Cyber-Waffen ausgehenden Risiken zu untersuchen, um so zu einer friedvollen Ausrichtung des Internet beizutragen.

Die ITU will die Internetsicherheit weltweit stärken und setzt dabei auch auf die Expertise von Kaspersky Lab. Dafür arbeitet die ITU mit allen relevanten Interessensgruppen wie etwa Regierungen, Unternehmen, Internationalen Organisationen und Bürgergesellschaften zusammen. Dies ergänzt die ITU-Impact-Initiative.

Die Experten von Kaspersky Lab entdeckten Gauss aufgrund von Gemeinsamkeiten mit der Malware Flame. Die Architektur und Struktur der Module sowie Code-Basis und Kommunikationsformen mit den Command & Control Servern sind in vielen Punkten vergleichbar.

Die wichtigsten Fakten im Überblick:

  • Aus der Untersuchung ergeben sich Hinweise, dass Gauss etwa seit September 2011 aktiv ist.
  • Gauss wurde im Juni 2012 entdeckt. Dies wurde durch die aus der Untersuchung von Flame gewonnenen Erkenntnisse möglich.
  • Bei der Entdeckung half vor allem die Ähnlichkeit zwischen Flame und Gauss.
  • Die Command & Control (C&C) Server von Gauss wurden im Juli 2012 kurz nach ihrer Entdeckung deaktiviert. Damit befinden sich die noch aktiven Schädlinge derzeit in einer Art Schlafmodus, da von den C&C-Servern keine neuen Anweisungen mehr erfolgen.
  • Seit Ende Mai 2012 wurden mehr als 2.500 Infektionen vom cloud-basierten Sicherheitssystem von Kaspersky Lab aufgezeichnet. Damit dürften die von Gauss infizierten Opfer in die Zehntausende gehen. Die Zahl der Infektionen liegt unter jener von Stuxnet, jedoch deutlich über der Zahl der Attacken durch Flame und Duqu.
  • Gauss entwendet detaillierte Informationen von den infizierten PCs, darunter die Browser-Historie des Anwenders, Cookies, Passwörter und Systemeinstellungen. Gauss kann auch Zugangsdaten zum Online-Banking sowie weiteren Zahlungsarten stehlen.
  • Gauss wurde offenbar so programmiert, dass speziell Daten im Zusammenhang mit mehreren libanesischen Banken, darunter Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank und Credit Libanais entwendet werden konnten. Darüber hinaus waren auch Citibank- und PayPal-Kunden Ziel der Attacken.

Zusammenfassung der Zeitlinie

Die neue Schadsoftware wurde von Kaspersky Experten im Juni 2012 entdeckt. Sein Hauptmodul wurde von den bis dato unbekannten Urhebern anscheinend nach dem deutschen Mathematiker Johann Carl Friedrich Gauß benannt. Auch weitere Komponenten tragen Namen berühmter Mathematiker, etwa Joseph-Luis Lagrange oder Kurt Gödel. Erste Vorfälle in Zusammenhang mit Gauss wurden bis Anfang September 2011 zurückverfolgt. Im Juli 2012 beendeten die C&C-Server des Gauss-Netzes ihre Aktivität.

Gauss stiehlt Bankdaten und infiziert auch USB-Sticks

Neben dem systematischen Sammeln von Online-Banking-Daten kann Gauss auch USB-Sticks infizieren, wobei dieselbe LNK-Schwachstelle zum Einsatz kommt wie zuvor bei Stuxnet und Flame. Gauss beherrscht allerdings noch intelligentere Funktionen. So verbirgt die Malware die gewonnene Information auf dem USB-Stick in einer versteckten Datei. Überdies installiert der Trojaner die Schriftart „Palida Narrow“, wobei die damit verbundene Absicht noch unklar ist.

Zwar sind sich Gauss und Flame ähnlich, allerdings ist ihr Verbreitungsgebiet unterschiedlich. Bei Flame lag der Schwerpunkt im Iran, während Gauss seine Opfer vorrangig im Libanon fand. Entsprechend der Daten aus dem cloud-basierten “Kaspersky Security Network” (KSN) lag die Gesamtzahl festgestellter Gauss-Infektionen bei über 2.500, bei Flame hingegen wurden nur knapp 700 Infektionen registriert.

Die exakte Infektionsmethode, die Gauss verwendet, ist noch nicht bekannt. Die Kaspersky-Experten gehen aber davon aus, dass sich Gauss wohl anders als Flame und Duqu ausbreitet. Gemeinsam ist all diesen Cyberwaffen die kontrollierte Art und Weise der Verbreitung, mit Schwerpunkt auf Tarnung der Aktivitäten.

Alexander Gostev, Chief Security Expert bei Kaspersky Lab, erklärt dazu: „Gauss zeigt in punkto Design und Code-Basis verblüffende Ähnlichkeiten zu Flame. Das erleichterte uns dessen Entdeckung. Wie Flame und Duqu ist Gauss eine Plattform zur Cyber-Spionage, die allerdings etwas anders ausgerichtet ist. Wie Flame zielt auch Gauss auf Nutzer in bestimmten Ländern, allerdings mit einem deutlichen Schwerpunkt auf Onlinebanking und Finanzdaten.”

Der Gauss Trojaner wird von Kaspersky Produkten entdeckt, blockiert und entfernt. Er ist klassifiziert als Trojan-Spy.Win32.Gauss.

Mehr Informationen in englischer Sprache finden sich in der Analyse auf Securelist samt einem FAQ: http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution

FAQ: http://www.securelist.com/en/blog?weblogid=208193767

© 1997 – 2014 Kaspersky Lab ZAO

Alle Rechte vorbehalten.