ΚΑΘΗΜΕΡΙΝΗ:«Η
Kaspersky Lab ανακοινώνει τον εντοπισμό του Trojan “Gauss”, μιας νέας
κυβερνοαπειλής που στοχεύει χρήστες στη Μέση Ανατολή. Ο Gauss είναι ένα
περίπλοκο εργαλείο ηλεκτρονικής κατασκοπείας, το οποίο έχει αναπτυχθεί
με κρατική χρηματοδότηση.
Στόχος του είναι η υποκλοπή ευαίσθητων
δεδομένων. Η νέα απειλή επικεντρώνεται σε κωδικούς πρόσβασης, στοιχεία
online τραπεζικών λογαριασμών και συγκεκριμένες ρυθμίσεις των συστημάτων
που προσβάλει. Η λειτουργικότητα online banking Trojan που εντοπίστηκε
στον Gauss είναι ένα μοναδικό χαρακτηριστικό, το οποίο δεν είχε
εμφανιστεί σε κανένα από τα μέχρι σήμερα γνωστά όπλα του κυβερνοχώρου.
Ο
Gauss εντοπίστηκε στο πλαίσιο της τρέχουσας πρωτοβουλίας της Διεθνούς
Ένωσης Τηλεπικοινωνιών (ITU), η οποία ξεκίνησε έπειτα από τον εντοπισμό
του ιού Flame. Στόχος της πρωτοβουλίας είναι η μείωση των κινδύνων που
προκύπτουν από τα διαδικτυακά όπλα, ώστε να επιτευχθεί ο συνολικότερος
στόχος της παγκόσμιας ειρήνης στο Διαδίκτυο. Αξιοποιώντας την
εξειδίκευση που προσφέρει η Kaspersky Lab, η ITU κάνει σημαντικά βήματα
για την ενίσχυση της ασφάλειας στον κυβερνοχώρο. Στο πλαίσιο αυτό, η ITU
συνεργάζεται ενεργά με όλους τους αρμόδιους εταίρους –
συμπεριλαμβανομένων κυβερνητικών φορέων, διεθνών οργανισμών, του
ιδιωτικού τομέα και της κοινωνίας των πολιτών – πέραν των βασικών της
συνεργατών στην πρωτοβουλία “International Multi-lateral Partnership
Against Cyberthreats” (Διεθνής Πολυμερής Συνεργασία Εναντίον των
Κυβερνοαπειλών – IMPACT).
Οι ειδικοί της Kaspersky Lab ανακάλυψαν
την ύπαρξη του Gauss, αναγνωρίζοντας τα κοινά σημεία που μοιράζεται με
το κακόβουλο πρόγραμμα Flame. Σε αυτά περιλαμβάνονται η κοινή
αρχιτεκτονική πλατφόρμα, οι δομές των βασικών modules, η βάση του κώδικα
και τα μέσα επικοινωνίας με command & control (C&C) servers.
Η
ανάλυση της νέας απειλής δείχνει ότι η λειτουργία του Gauss ξεκίνησε
μέσα στο Σεπτέμβριο του 2011. Εντοπίστηκε για πρώτη φορά τον Ιούνιο του
2012, βάσει της γνώσης που αποκομίστηκε από την ανάλυση και την έρευνα
για το κακόβουλο πρόγραμμα Flame. Η C&C υποδομή του Gauss
απενεργοποιήθηκε τον Ιούλιο του 2012, λίγο μετά τον εντοπισμό του. Αυτή
τη στιγμή, βρίσκεται σε αδρανή κατάσταση, περιμένοντας την ενεργοποίηση
των C&C servers του.
Από τα τέλη Μαΐου του 2012, πάνω από
2,500 επιθέσεις έχουν καταγραφεί στο cloud-based σύστημα ασφάλειας της
Kaspersky Lab, με τον αριθμό των θυμάτων του Gauss να ανέρχεται πιθανώς
σε δεκάδες χιλιάδες. Ο αριθμός αυτός είναι χαμηλότερος σε σχέση με τον
αντίστοιχο αριθμό επιθέσεων του ιού Stuxnet, αλλά και σημαντικά
υψηλότερος σε σχέση με τις επιθέσεις που πραγματοποιήθηκαν από τα
κακόβουλα προγράμματα Flame και Duqu.
Ο Gauss υποκλέπτει
λεπτομερείς πληροφορίες σχετικά με τους υπολογιστές που προσβάλλει,
συμπεριλαμβανομένου του ιστορικού του browser, των cookies, των κωδικών
πρόσβασης και των ρυθμίσεων των συστημάτων. Επίσης μπορεί να υποκλέψει
στοιχεία πρόσβασης από διάφορα online τραπεζικά συστήματα και συστήματα
πληρωμών.
Η ανάλυση του Gauss δείχνει ότι είχε αναπτυχθεί με στόχο
την υποκλοπή δεδομένων από διάφορες τράπεζες με έδρα το Λίβανο, όπως η
Bank of Beirut, η EBLF, η BlomBank, η ByblosBank, η FransaBank και η
Credit Libanais. Επιπλέον, το νέο Torjan βάζει στο στόχαστρο χρήστες των
υπηρεσιών της Citibank και του PayPal.
Το βασικό module του ιού,
του οποίου οι δημιουργοί παραμένουν άγνωστοι, πήρε την ονομασία του από
τον Γερμανό μαθηματικό Johann Carl Friedrich Gauss. Επίσης, ονόματα
γνωστών μαθηματικών, όπως ο Joseph-Louis Lagrange και ο Kurt Godel,
έχουν δοθεί σε άλλα μέρη του ιού.
Διάφορα modules του Gauss
συλλέγουν πληροφορίες από browsers, όπως το ιστορικό και οι κωδικοί
πρόσβασης. Επίσης, οι επιτιθέμενοι λάμβαναν αναλυτικά δεδομένα για τα
συστήματα που προσβάλλονταν από τον ιό, όπως λεπτομέρειες για τα network
interfaces και τους δίσκους των υπολογιστών, καθώς και πληροφορίες το
BIOS των συστημάτων.
Ένα ακόμη βασικό χαρακτηριστικό του Gauss
είναι η δυνατότητα να προσβάλλει δίσκους USB, χρησιμοποιώντας την ίδια
λειτουργικότητα που χρησιμοποιούσαν και οι ιοί Stuxnet και Flame.
Ωστόσο, η διαδικασία που ακολουθεί για τη «μόλυνση» των USB δίσκων είναι
πιο έξυπνη. Ο Gauss μπορεί – υπό προϋποθέσεις – να «απολυμάνει» το
δίσκο, ενώ χρησιμοποιεί τα αφαιρούμενα μέσα για να αποθηκεύσει τις
πληροφορίες που έχει συλλέξει σε ένα κρυμμένο φάκελο. Επίσης, το Trojan
αυτό μπορεί να εγκαταστήσει την ειδική γραμματοσειρά “Palida Narrow”. Ο
σκοπός αυτής της δράσης παραμένει ακόμη άγνωστος.
Ενώ ο Gauss έχει
παρόμοιο σχεδιασμό με τον Flame, το γεωγραφικό αποτύπωμα της δράσης του
είναι σημαντικά διαφορετικό. Οι περισσότεροι υπολογιστές που επλήγησαν
από τον Flame εντοπίστηκαν στο Iran, ενώ η πλειοψηφία των θυμάτων του
Gauss βρέθηκε στο Λίβανο. Επίσης, υπάρχουν διαφορές στον αριθμό των
κρουσμάτων. Βάσει δεδομένων τηλεμετρίας από το Kaspersky Security
Network (KSN), ο Gauss προσέβαλε περίπου 2,500 συστήματα, ενώ ο Flame
περίπου 700.
Παρότι η ακριβής μέθοδος προσβολής δεν είναι ακόμη
γνωστή, είναι ξεκάθαρο ότι ο Gauss διαδίδεται με διαφορετικό τρόπο σε
σχέση με τα κακόβουλα προγράμματα Flame και Duqu. Εντούτοις, όπως και
στις περιπτώσεις των προηγούμενων δύο ιών, η εξάπλωση του Gauss γίνεται
ελεγχόμενα, γεγονός που αναδεικνύει τη μυστικότητα και το απόρρητο της
λειτουργίας του ιού.
Ο Alexander Gostev, Chief Security Expert της
Kaspersky Lab, σχολίασε: «Ο Gauss φέρει σημαντικές ομοιότητες με τον
Flame, όπως ο σχεδιασμός και η βάση του κώδικα, γεγονός που επέτρεψε τον
εντοπισμό του. Όπως και οι ιοί Flame και Duqu, ο Gauss είναι ένα
περίπλοκο όπλο κατασκοπίας, καθώς έχει σχεδιαστεί με έμφαση στη
μυστικότητα και το απόρρητο της λειτουργίας. Ωστόσο, ο σκοπός του ήταν
διαφορετικός. Ο Gauss στοχεύει πολλούς χρήστες σε επιλεγμένες χώρες,
ώστε να υποκλέψει μεγάλους όγκους δεδομένων – και κυρίως, τραπεζικές και
χρηματοοικονομικές πληροφορίες».
Τα προϊόντα της Kaspersky Lab
μπορούν να εντοπίσουν, να αποτρέψουν και να αφαιρέσουν τον Gauss, ο
οποίος έχει κατηγοριοποιηθεί με την κωδική ονομασία
Trojan-Spy.Win32.Gauss».
Πηγή: Kaspersky Lab
http://portal.kathimerini.gr/4dcgi/_w_articles_kathworld_1_09/08/2012_456306 | 
0 σχόλια:
Δημοσίευση σχολίου