Kaspersky Lab e ITU Research scoprono ‘Gauss’, una nuova complessa cyber-minaccia progettata per monitorare gli account di banking online

09 ago
Notizie Virus

Kaspersky Lab annuncia la scoperta di ‘Gauss’, una nuova temibile cyber-minaccia specificamente rivolta agli utenti della Rete ubicati nell'area medio-orientale. Gauss è un complesso attack-toolkit, sponsorizzato a livello di stati nazionali, in grado di compiere delicate operazioni di cyber-spionaggio; il malware in questione è stato progettato e sviluppato per realizzare il furto di dati sensibili, con una particolare predilezione per le password dei browser, le credenziali relative agli account di banking online, i cookies e le configurazioni delle macchine da esso infettate.

La specifica funzionalità Trojan individuata in Gauss, volta a prendere di mira gli utenti del banking online, rappresenta una caratteristica davvero unica, mai rilevata in nessuna delle cyber-armi sinora conosciute.

Gauss è stato scoperto nel quadro delle febbrili attività intraprese dall'International Telecommunication Union (ITU) a seguito dell'individuazione di Flame. Tali attività intendono mitigare i rischi connessi allo sviluppo delle cyber-armi e rappresentano un componente chiave al fine di conseguire il comune obiettivo della “cyber-pace” globale.

ITU, avvalendosi delle specifiche competenze possedute da Kaspersky Lab in materia di sicurezza informatica, sta sviluppando importanti iniziative allo scopo di rafforzare la cyber-sicurezza mondiale; l'Unione Internazionale delle Telecomunicazioni intende collaborare attivamente con tutti gli attori in gioco ai vari livelli, quali enti governativi, settore privato, organizzazioni internazionali e società civile, oltre che, naturalmente, con i principali partner della speciale agenzia da essa creata, denominata IMPACT (International Multilateral Partnership Against Cyber Threats).

Gli esperti di Kaspersky Lab hanno scoperto l'esistenza di Gauss identificando le caratteristiche comuni che il nuovo programma malware condivide con Flame. Esse includono piattaforme architetturali simili, analoghe strutture dei moduli e delle basi dei codici, modalità di comunicazione similari con i server di comando e controllo (C&C).

I fatti in breve:

  • L'analisi condotta indica che Gauss ha iniziato la propria attività malevola nel corso del mese di settembre 2011.
  • La nuova minaccia informatica è stata individuata per la prima volta nel mese di giugno 2012, grazie alle specifiche conoscenze acquisite a seguito delle approfondite analisi e ricerche precedentemente condotte sul malware Flame.
  • La scoperta della nuova sofisticata cyber-arma si è resa possibile in ragione delle forti somiglianze ed evidenti correlazioni esistenti tra Flame e Gauss.
  • L'infrastruttura C&C di Gauss è stata smantellata nel mese di luglio 2012, poco tempo dopo la scoperta del nuovo malware. Attualmente Gauss si trova in uno stato di quiescenza, in attesa che i suoi server C&C vengano riattivati.
  • Dagli ultimi giorni di maggio 2012 in poi, il sistema di sicurezza di Kaspersky Lab basato sul cloud ha registrato oltre 2.500 infezioni informatiche provocate dalla temibile cyber-minaccia; il numero totale delle vittime di Gauss è stato stimato nell'ordine di alcune decine di migliaia di computer. Si tratta, indubbiamente, di cifre inferiori rispetto a quelle attribuibili alle attività nocive svolte da Stuxnet, ma significativamente superiori al numero di attacchi riconducibili ai malware Flame e Duqu.
  • Gauss esegue il furto di dettagliate informazioni riguardanti i PC infettati, incluso cronologia del browser, cookies, password e configurazioni di sistema. Esso è ugualmente in grado di carpire le credenziali di accesso a vari sistemi di Internet banking e servizi di pagamento online.
  • Le analisi condotte su Gauss evidenziano come la nuova minaccia IT sia stata specificamente progettata dai suoi autori per compiere il furto di dati sensibili custoditi in numerose banche libanesi, quali Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank e Credit Libanais. Oltre a ciò, Gauss prende di mira gli utenti di Citibank e PayPal.

Il nuovo malware è stato scoperto dagli esperti di Kaspersky Lab nel mese di giugno 2012. Il modulo principale è stato chiamato dagli stessi creatori della complessa cyber-arma, tuttora sconosciuti, con il nome del celebre matematico tedesco Johann Carl Friedrich Gauss. Altri componenti portano ugualmente il nome di famosi geni matematici, tra cui Joseph-Louis Lagrange e Kurt Gödel. Le indagini condotte hanno rivelato che i primi incidenti dovuti a Gauss risalgono al mese di settembre 2011. Nel mese di luglio 2012 i server di comando e controllo di Gauss hanno tuttavia cessato di funzionare.

I molteplici moduli di cui si compone Gauss sono specificamente preposti a raccogliere informazioni dai browser, tra cui la cronologia dei siti web visitati e le password. Agli attaccanti vengono ugualmente trasmessi numerosi dati dettagliati raccolti nella macchina infetta, quali le specifiche relative alle interfacce di rete, le caratteristiche delle varie unità del computer e le informazioni sul BIOS. Il modulo denominato Gauss è altresì in grado di eseguire il furto di dati sensibili relativi ai clienti di numerose banche libanesi, tra cui Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank e Credit Libanais. Gauss prende inoltre di mira gli utenti di Citibank e PayPal.

Un'altra caratteristica fondamentale di Gauss consiste nella capacità di infettare i thumb drive USB, usando la stessa vulnerabilità LNK precedentemente sfruttata da Stuxnet e Flame. Al tempo stesso, il processo di infezione delle chiavette USB risulta in qualche modo più “intelligente” rispetto a quello utilizzato dalle cyber-armi precedenti. In presenza di determinate circostanze, Gauss è difatti in grado di “disinfettare” l'unità, e si avvale inoltre dei supporti rimovibili per memorizzare in un file nascosto le informazioni raccolte. Un'altra attività svolta dal Trojan qui analizzato è rappresentata dall'installazione di un font speciale, chiamato Palida Narrow; lo scopo di tale specifica azione rimane tuttavia ancora sconosciuto.

Mentre la conformazione di Gauss risulta simile a quella di Flame, la “geografia” delle infezioni informatiche da esso prodotte è invece notevolmente diversa rispetto a quella determinata dall'illustre “confratello”. Il numero più elevato di computer colpiti da Flame è stato registrato in Iran, mentre la maggioranza delle vittime di Gauss è stata localizzata in Libano. Differisce anche il numero delle infezioni realizzate. In base ai dati telemetrici ottenuti attraverso il Kaspersky Security Network (KSN), risulta che Gauss sia riuscito ad infettare all'incirca 2.500 macchine. In confronto, Flame si è mantenuto su livelli decisamente inferiori, contagiando “solo” 700 computer-vittima.

Sebbene l'esatto metodo utilizzato dalla nuova cyber-minaccia per infettare i computer rimanga ancora sconosciuto, è evidente come Gauss si propaghi in maniera diversa rispetto a Flame o Duqu; ad ogni caso, alla stregua delle due precedenti armi di cyber-spionaggio, i suoi meccanismi di diffusione vengono dispiegati in modo controllato e “pilotato”: tale elemento sottolinea ulteriormente la furtività e la segretezza delle operazioni svolte da Gauss.
 
Alexander Gostev, Chief Security Expert di Kaspersky Lab, ha così commentato: “Gauss presenta somiglianze davvero impressionanti con Flame, quali, ad esempio, la particolare concezione e le basi dei codici; questo ci ha permesso di giungere piuttosto rapidamente alla scoperta del nuovo programma malware. Dotato di caratteristiche simili a Flame e Duqu, Gauss è un toolkit di cyber-spionaggio particolarmente complesso, la cui realizzazione evidenzia specifiche peculiarità di segretezza e furtività; ad ogni caso, gli scopi da esso perseguiti risultano diversi dai target a cui mirano Flame o Duqu. Gauss intende in effetti colpire un considerevole numero di utenti in determinati paesi, allo scopo di compiere il furto di grandi quantità di dati, con una particolare predilezione per le informazioni di natura bancaria e finanziaria”.

Al momento attuale il trojan Gauss viene già efficacemente rilevato, bloccato e neutralizzato dai prodotti Kaspersky Lab; esso è stato classificato come Trojan-Spy.Win32.Gauss.

Gli esperti di Kaspersky Lab hanno pubblicato un'approfondita analisi del nuovo malware all'interno di Securelist.com: http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution

Un set completo di FAQ, contenente informazioni essenziali sulla nuova cyber-minaccia, è inoltre disponibile al seguente indirizzo:
http://www.securelist.com/en/blog?weblogid=208193767

Per rimanere aggiornati sulle future novità relative a Gauss seguite la nostra pagina Facebook:
https://www.facebook.com/Kaspersky?ref=ts