Kaspersky Lab nodigt specialisten uit te helpen

14 aug 2012
Virus News

Kaspersky Lab heeft onlangs Gauss ondekt, een complexe, door een natiestaat gesponsorde cyberspionagetoolkit. Kaspersky Lab experts publiceerden een onderzoek over Gauss waarin de primaire functies en kenmerken, de architectuur, de unieke modules, de communicatiemethoden en de infectiestatistieken van de malware werden geanalyseerd. Echter, er zijn nog steeds een aantal mysteries en onbeantwoorde vragen over Gauss. Een van de meest intrigerende aspecten is gerelateerd aan de gecodeerde payload van Gauss.

Kaspersky Lab wil graag iedereen met een interesse in cryptografie, reverse-engineering of wiskunde uitnodigen om te helpen bij het vinden van de decryptiesleutels en de verborgen payload te decoderen. Neem hiervoor contact met Kaspersky Lab op via: theflame@kaspersky.com

De gecodeerde payload bevindt zich in de USB-data stelende modules van Gauss en is ontworpen om zich te richten op een bepaald systeem (of systemen) waarop een specifiek programma is geïnstalleerd. Zodra een besmette USB-stick wordt aangesloten op een kwetsbare computer, wordt de malware uitgevoerd en probeert het de payload te decoderen door het creëren van een sleutel om het te ontgrendelen. De sleutel wordt ontleend uit specifieke configuraties van de machine. Zo bevat het bijvoorbeeld de naam van een map in Program Files, waarvan het eerste teken uit een uitgebreid karakterset, zoals Arabisch of Hebreeuws, moet komen. Als de malware de betrokken systeemconfiguraties identificeert, zal het met succes de payload openen en uitvoeren.

"Het doel en de functies van de gecodeerde payload is op dit moment nog steeds een mysterie," zegt Aleks Gostev, Chief Security Expert, Global Research and Analysis Team, Kaspersky Lab. "Het gebruik van cryptografie en de voorzorgsmaatregelen die de ontwikkelaars hebben getroffen om deze payload te verbergen, wijzen erop dat zijn doelwitten hoog gekwalificeerd zijn. De grootte van de payload is ook verontrustend. Het is groot genoeg om codering te bevatten die gebruikt kan worden voor cybersabotage vergelijkbaar met Stuxnet's SCADA-code. Het decoderen van de payload zal een beter inzicht geven in de algemene doelstelling en de aard van deze dreiging."

Meer details en een technische beschrijving van het probleem zijn beschikbaar in onze blogpost op Securelist.com.

 DEZE PAGINA DELEN