Νέος ιός: Ο πρίγκιψ του μαθηματικών

Με το όνομα του «πρίγκιψ του μαθηματικών» κυκλοφορεί καλά κρυμμένος σε υπολογιστές στην Μέση Ανατολή ένας νέος ιός «που αναπτύχθηκε με κρατική χρηματοδότηση», ανακοίνωσαν τα εργαστήρια Kaspersky.

Το trojan ονομάζεται Gauss θεωρείται μοναδικό καθώς υποκλέπτει στοιχεία πρόσβασης σε τραπεζικά συστήματα και συστήματα πληρωμών, συμπεριλαμβανομένου του PayPal.

Πάντως, σύμφωνα με τους αναλυτές, προς το παρόν, παραμένει αδρανές το κέντρο επιχειρήσεων από το οποίο φαίνεται να δίνονται εντολές ελέγχου των συστημάτων που προσβλήθηκαν με τον Gauss.

Ο Gauss εντοπίστηκε στο πλαίσιο της τρέχουσας πρωτοβουλίας της Διεθνούς Ένωσης Τηλεπικοινωνιών (ITU), η οποία ξεκίνησε έπειτα από τον εντοπισμό του ιού Flame. Στόχος της πρωτοβουλίας είναι η μείωση των κινδύνων που προκύπτουν από τα διαδικτυακά όπλα, ώστε να επιτευχθεί ο συνολικότερος στόχος της παγκόσμιας ειρήνης στο Διαδίκτυο.

Η ITU συνεργάζεται ενεργά με όλους τους αρμόδιους εταίρους – συμπεριλαμβανομένων κυβερνητικών φορέων, διεθνών οργανισμών, του ιδιωτικού τομέα και της κοινωνίας των πολιτών – πέραν των βασικών της συνεργατών στην πρωτοβουλία “International Multi-lateral Partnership Against Cyberthreats” (Διεθνής Πολυμερής Συνεργασία Εναντίον των Κυβερνοαπειλών – IMPACT).

Οι ειδικοί της Kaspersky Lab ανακάλυψαν την ύπαρξη του Gauss, αναγνωρίζοντας τα κοινά σημεία που μοιράζεται με το κακόβουλο πρόγραμμα Flame. Σε αυτά περιλαμβάνονται η κοινή αρχιτεκτονική πλατφόρμα, οι δομές των βασικών modules, η βάση του κώδικα και τα μέσα επικοινωνίας με command & control (C&C) servers.
Πού βρίσκεται τώρα ο Gauss

Η ανάλυση της νέας απειλής δείχνει ότι η λειτουργία του Gauss ξεκίνησε μέσα στο Σεπτέμβριο του 2011. Εντοπίστηκε για πρώτη φορά τον Ιούνιο του 2012, βάσει της γνώσης που συγκεντρώθηκε από την ανάλυση και την έρευνα για το κακόβουλο πρόγραμμα Flame. Η C&C υποδομή του Gauss απενεργοποιήθηκε τον Ιούλιο του 2012, λίγο μετά τον εντοπισμό του. Αυτή τη στιγμή, βρίσκεται σε αδρανή κατάσταση, περιμένοντας την ενεργοποίηση των C&C servers του.
Ο αριθμός των θυμάτων του Gauss μετράται σε χιλιάδες

Από τα τέλη Μαΐου του 2012, πάνω από 2.500 επιθέσεις έχουν καταγραφεί στο cloud-based σύστημα ασφάλειας της Kaspersky Lab, με τον αριθμό των θυμάτων του Gauss να ανέρχεται πιθανώς σε δεκάδες χιλιάδες. Ο αριθμός αυτός είναι χαμηλότερος σε σχέση με τον αντίστοιχο αριθμό επιθέσεων του ιού Stuxnet, αλλά και σημαντικά υψηλότερος σε σχέση με τις επιθέσεις που πραγματοποιήθηκαν από τα κακόβουλα προγράμματα Flame και Duqu.
Τι υποκλέπτει ο Gauss

Ο Gauss υποκλέπτει λεπτομερείς πληροφορίες σχετικά με τους υπολογιστές που προσβάλλει, συμπεριλαμβανομένου του ιστορικού του browser, των cookies, των κωδικών πρόσβασης και των ρυθμίσεων των συστημάτων. Επίσης μπορεί να υποκλέψει στοιχεία πρόσβασης από διάφορα online τραπεζικά συστήματα και συστήματα πληρωμών.

Η ανάλυση του Gauss δείχνει ότι είχε αναπτυχθεί με στόχο την υποκλοπή δεδομένων από διάφορες τράπεζες με έδρα το Λίβανο, όπως η Bank of Beirut, η EBLF, η BlomBank, η ByblosBank, η FransaBank και η Credit Libanais. Επιπλέον, το νέο trojan βάζει στο στόχαστρο χρήστες των υπηρεσιών της Citibank και του PayPal.

Το βασικό module του ιού, του οποίου οι δημιουργοί παραμένουν άγνωστοι, πήρε την ονομασία του από τον Γερμανό μαθηματικό Johann Carl Friedrich Gauss. Επίσης, ονόματα γνωστών μαθηματικών, όπως ο Joseph-Louis Lagrange και ο Kurt Godel, έχουν δοθεί σε άλλα μέρη του ιού.

Διάφορα modules του Gauss συλλέγουν πληροφορίες από browsers, όπως το ιστορικό και οι κωδικοί πρόσβασης. Επίσης, οι επιτιθέμενοι λάμβαναν αναλυτικά δεδομένα για τα συστήματα που προσβάλλονταν από τον ιό, όπως λεπτομέρειες για τα network interfaces και τους δίσκους των υπολογιστών, καθώς και πληροφορίες το BIOS των συστημάτων.
Mαθηματικά Gauss σε USB

Ένα ακόμη βασικό χαρακτηριστικό του Gauss είναι η δυνατότητα να προσβάλλει δίσκους USB, χρησιμοποιώντας την ίδια λειτουργικότητα που χρησιμοποιούσαν και οι ιοί Stuxnet και Flame. Ωστόσο, η διαδικασία που ακολουθεί για τη μόλυνση των USB δίσκων είναι πιο έξυπνη. Ο Gauss μπορεί – υπό προϋποθέσεις – να «απολυμάνει» το δίσκο, ενώ χρησιμοποιεί τα αφαιρούμενα μέσα για να αποθηκεύσει τις πληροφορίες που έχει συλλέξει σε ένα κρυμμένο φάκελο.
Επίσης, το Trojan αυτό μπορεί να εγκαταστήσει την ειδική γραμματοσειρά Palida Narrow. Ο σκοπός αυτής της δράσης παραμένει ακόμη άγνωστος.
Από το Ιράν στο Λίβανο;

Ενώ ο Gauss έχει παρόμοιο σχεδιασμό με τον Flame, το γεωγραφικό αποτύπωμα της δράσης του είναι σημαντικά διαφορετικό. Οι περισσότεροι υπολογιστές που επλήγησαν από τον Flame εντοπίστηκαν στο Ιράν, ενώ η πλειοψηφία των θυμάτων του Gauss βρέθηκε στο Λίβανο.

Επίσης, υπάρχουν διαφορές στον αριθμό των κρουσμάτων. Βάσει δεδομένων τηλεμετρίας από το Kaspersky Security Network (KSN), ο Gauss προσέβαλε περίπου 2.500 συστήματα, ενώ ο Flame περίπου 700.

Παρότι η ακριβής μέθοδος προσβολής δεν είναι ακόμη γνωστή, είναι ξεκάθαρο ότι ο Gauss διαδίδεται με διαφορετικό τρόπο σε σχέση με τα κακόβουλα προγράμματα Flame και Duqu.

Εντούτοις, όπως και στις περιπτώσεις των προηγούμενων δύο ιών, η εξάπλωση του Gauss γίνεται ελεγχόμενα, γεγονός που αναδεικνύει τη μυστικότητα και το απόρρητο της λειτουργίας του ιού.

Ο Alexander Gostev, Chief Security Expert της Kaspersky Lab, σχολίασε: «Ο Gauss φέρει σημαντικές ομοιότητες με τον Flame, όπως ο σχεδιασμός και η βάση του κώδικα, γεγονός που επέτρεψε τον εντοπισμό του.

Όπως και οι ιοί Flame και Duqu, ο Gauss είναι ένα περίπλοκο όπλο κατασκοπείας, καθώς έχει σχεδιαστεί με έμφαση στη μυστικότητα και το απόρρητο της λειτουργίας. Ωστόσο, ο σκοπός του ήταν διαφορετικός.

Ο Gauss στοχεύει πολλούς χρήστες σε επιλεγμένες χώρες, ώστε να υποκλέψει μεγάλους όγκους δεδομένων – και κυρίως, τραπεζικές και χρηματοοικονομικές πληροφορίες».

Τα προϊόντα της Kaspersky Lab μπορούν να εντοπίσουν, να αποτρέψουν και να αφαιρέσουν τον Gauss, ο οποίος έχει κατηγοριοποιηθεί με την κωδική ονομασία Trojan-Spy.Win32.Gauss.

Η ανάλυση του Gauss από τους ειδικούς της Kaspersky Lab είναι διαθέσιμη στη διεύθυνση :http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution.

Επίσης, βασικές πληροφορίες για τη νέα απειλή (σε μορφή FAQ), είναι διαθέσιμες στη διεύθυνση:http://www.securelist.com/en/blog?weblogid=208193767

Πηγή: iGuRu.gr