Nowy szkodliwy program Gauss

Przeczytaj także: Robak Stuxnet powraca

Funkcja trojana bankowego zidentyfikowana w Gaussie stanowi nietypową cechę, niespotkaną w żadnej znanej wcześniej cyberbroni.

Gauss został wykryty podczas trwającej inicjatywy zapoczątkowanej przez International Telecommunication Union (ITU) po wykryciu Flame’a. Eksperci z Kaspersky Lab wykryli Gaussa poprzez zidentyfikowanie cech wspólnych tego szkodliwego programu ze zidentyfikowaną wcześniej cyberbronią Flame. Obejmują one podobieństwa w architekturze, strukturze modułów, kodzie oraz sposobach komunikacji z serwerami wykorzystywanymi przez cyberprzestępców do kontrolowania tych zagrożeń.
Najważniejsze fakty:

• Analiza wskazuje, że Gauss funkcjonuje od września 2011 r.
• Po raz pierwszy został wykryty w czerwcu 2012 na podstawie informacji uzyskanych w wyniku dogłębnej analizy i badań przeprowadzonych na szkodniku Flame.
• Odkrycie to było możliwe dzięki wyraźnym podobieństwom i związkom między Flamem i Gaussem.
• Infrastruktura serwerów kontrolujących Gaussa została zamknięta w lipcu 2012 r., niedługo po wykryciu go. Obecnie szkodnik ten znajduje się w stanie uśpienia, czekając, aż serwery znów staną się aktywne.
• Od końca maja 2012 r. oparty na chmurze system bezpieczeństwa firmy Kaspersky Lab zarejestrował ponad 2 500 infekcji, a łączna liczba ofiar Gaussa szacowana jest na dziesiątki tysięcy.
• Liczba ta jest niższa w porównaniu ze Stuxnetem, ale stosunkowo wyższa niż w przypadku Flame’a oraz Duqu.
• Gauss kradnie szczegółowe informacje o zainfekowanych komputerach PC, łącznie z historią przeglądarki, ciasteczkami, hasłami oraz konfiguracjami systemu. Potrafi również kraść dane uwierzytelniające dostęp do różnych systemów bankowości online oraz metod płatności.
• Z analizy Gaussa wynika, że szkodnik ten został stworzony w celu kradzieży danych z kilku libańskich banków, w tym Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank oraz Credit Libanais. Ponadto, atakuje również użytkowników Citibanku oraz PayPala.

Gauss został wykryty przez ekspertów Kaspersky Lab w czerwcu 2012 r. Jego główny moduł został nazwany przez nieznanych twórców od nazwiska niemieckiego matematyka Johanna Carla Friedricha Gaussa. Inne komponenty również noszą nazwy sławnych matematyków, np. Joseph-Louis Lagrange czy Kurt Gödel. Badanie wykazało, że pierwsze incydenty z udziałem Gaussa miały miejsce już we wrześniu 2011 r. W lipcu 2012 r. serwery kontroli Gaussa przestały działać.