Kaspersky Lab upptäcker nya cyberhotet Gauss

09 aug 2012
Virus News

Antivirus nyheter

Kaspersky Lab och FN-organet ITU har upptäckt ”Gauss”, ett nytt cyberhot riktat mot användare i Mellanöstern. Gauss är en komplex uppsättning verktyg avsett för cyberspionage och är utvecklat med stöd från en stat. Syftet är att komma över känslig data med särskilt fokus på webbläsarlösenord, kontouppgifter till internetbanker, cookies och specifika konfigurationer hos infekterade maskiner. Gauss innehåller ett slags trojan avsedd för internetbanker, vilket är en unik egenskap som inte har påträffats hos några tidigare cybervapen.

Upptäckten av Gauss skedde under ett initiativ från ITU (International Telecommunication Union), med anledning av cyberhotet Flame som upptäcktes tidigare i år. Initiativet har som mål att minska de risker som cybervapen utgör globalt.

Kaspersky Labs experter upptäckte Gauss genom att identifiera det skadliga programmets likheter med Flame. Likheterna omfattar plattformarnas arkitektur, strukturer hos moduler, kodbaser och kommunikationssättet med så kallade command & control (C&C) servrar.

Snabbfakta:

  • Analys tyder på att Gauss blev aktivt i september 2011.
  • Programmet upptäcktes i juni 2012 som ett resultat från de insikter man skaffat från analys och forskning kring skadliga programmet Flame.
  • Upptäckten var möjlig genom starka liknelser och samband mellan Flame och Gauss.
  • Gauss C&C-infrastruktur stängdes ner i juli 2012, strax efter upptäcken. Programmet är därför i dagsläget i inaktivt läge i väntan på att dess C&C-servrar ska bli aktiva.
  • Sedan slutet av maj 2012 har fler än 2500 infektioner registrerats av Kaspersky Labs molnbaserade säkerhetssystem. Det totala antalet offer för Gauss uppskattas dock till tiotusentals. Antalet är lägre jämfört med Stuxnet men betydligt högre än för Flame och Duqu.
  • Gauss stjäl detaljerad information från infekterade datorer, inklusive webbläsarhistorik, cookies, lösenord och systemkonfigurationer. Programmet kan även stjäla accessuppgifter för olika webbaserade banksystem och betalningsmetoder.
  • Analys av Gauss visar att programmet har utvecklats för att stjäla data från flertalet libanesiska banker. Det angriper även användare av Citibank och PayPal.
  • Programmets okända skapare har döpt huvudmodulen efter den tyske matematikern Johann Carl Friedrich Gauss. Även andra komponenter bär namn från kända matematiker, som Joseph-Louis Lagrange och Kurt Gödel.

Hur funkar Gauss?

Gauss innehåller flera moduler som används för att samla in information från webbläsare, till exempel historik över besökta webbsidor och lösenord. Detaljerad data från infekterade datorer skickas till upphovsmännen, inklusive specifikationer över nätverksgränssnitt, datorns drivenheter och BIOS-information.

En annan viktig egenskap hos Gauss är möjligheten att infektera USB-minnen, genom att använda samma LNK-sårbarhet som tidigare har använts av Stuxnet och Flame. Samtidigt är processen för att infektera USB-minnen intelligentare. Gauss kan nämligen ”disinfektera” USB-enheten under vissa förhållanden och använder den flyttbara enheten för att lagra insamlad information i en gömd fil. Trojanen kan även installera ett speciellt typsnitt med namnet Palida Narrow. Syftet med detta är dock fortfarande okänt.

Även om strukturen hos Gauss bär likheter med Flame är de geografiska infektionsområdena märkbart olika. Flame hade flest antal drabbade i Iran medan majoriteten av offren för Gauss finns i Libanon. Antalet infektioner skiljer sig också: siffror från Kaspersky Security Network (KSN) visar att Gauss har infekterat runt 2500 maskiner medan Flame infekterade runt 700 maskiner.

Exakt hur metoden för att infektera datorer är ännu inte fastställt men det står klart att Gauss sprider sig på ett annat sätt än Flame och Duqu. Spridningsmekanismerna hos Gauss, precis som hos Flame Duqu, genomförs dock på ett kontrollerat sätt vilket tyder på att utvecklarna är måna om att dölja programmets existens.

I dagsläget identifierar, blockerar och oskadliggör Kaspersky Labs säkerhetsprogram Gauss. Programmet klassificeras som Trojan-Spy.Win32.Gauss.

Vidare analys av Gauss: http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution

Frågor & svar om Gauss: http://www.securelist.com/en/blog?weblogid=208193767

Copyright © 1997 - 2014 Kaspersky Lab

Med ensamrätt. Branschledande antivirusskydd.