Nowy szkodliwy program Gauss

Przeczytaj także: Robak Stuxnet powraca

Liczne moduły Gaussa służą do gromadzenia informacji z przeglądarek, łącznie z  historią odwiedzanych stron i hasłami. Do osób atakujących przesyłane są również szczegółowe dane dotyczące zainfekowanej maszyny, w tym dane dotyczące interfejsów sieciowych, sterowników komputerowych oraz informacje o BIOS-ie. Moduł Gaussa potrafi również kraść dane klientów kilku libańskich banków, w tym Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank oraz Credit Libanais. Atakuje również użytkowników Citibanku i PayPala.

Inną główną funkcją Gaussa jest zdolność infekowania urządzeń USB za pośrednictwem tej samej luki, którą wykorzystywał wcześniej Stuxnet i Flame. Proces infekowania urządzeń USB jest jednak w tym przypadku bardziej „inteligentny”. Gauss potrafi „wyleczyć” takie urządzenie w niektórych okolicznościach i wykorzystuje nośnik wymienny do przechowywania zgromadzonych informacji w ukrytym pliku. Innym działaniem trojana jest instalowanie w systemie specjalnej czcionki o nazwie „Palida Narrow”, jednak cel tej czynności nadal nie jest znany.
O ile Gauss przypomina Flame’a pod względem projektu, rozkład geograficzny infekcji jest już wyraźnie inny. Największa liczba komputerów zainfekowanych przez Flame’a została odnotowana w Iranie, natomiast większość ofiar Gaussa było zlokalizowanych w Libanie. Liczba infekcji również jest inna. Na podstawie telemetrii Kaspersky Security Network (KSN), eksperci z Kaspersky Lab ustalili, że Gauss zainfekował około 2 500 maszyn. Dla porównania, Flame zainfekował znacznie mniej, bo prawie 700 maszyn.

Chociaż dokładna metoda wykorzystywana do infekowania komputerów nie jest jeszcze znana, nie ma wątpliwości, że Gauss rozprzestrzenia się w inny sposób niż Flame czy Duqu. Jednak, podobnie jak w przypadku dwóch poprzednich broni cyberszpiegowskich, rozprzestrzenianie Gaussa odbywa się w sposób kontrolowany, sugerujący dyskrecję całej operacji.

Aleksander Gostiew, główny ekspert ds. bezpieczeństwa, Kaspersky Lab, powiedział: „Gauss wykazuje uderzające podobieństwa do Flame’a, w projekcie oraz podstawie kodu, co pozwoliło nam wykryć ten szkodliwy program. Tak samo jak Flame i Duqu, Gauss to złożony zestaw narzędzi cyberszpiegowskich, którego struktura sugeruje, że szkodnik ten miał działać w ukryciu, jednak jego cel różnił się od przeznaczenia Flame’a czy Duqu. Gauss atakuje użytkowników w wybranych krajach w celu kradzieży ogromnych ilości danych, w szczególności informacji bankowych oraz finansowych”.