agdrtv24 - twitteragdrtv24 - facebookagdrtv24 - linkedin
Kaspersky Lab wykrywa ''Gaussa'' - nowe złożone cyberzagrożenie

Kaspersky Lab wykrywa ''Gaussa'' - nowe złożone cyberzagrożenie

INNE / Bezpieczeństwo IT / 2012-08-09 17:35:00

Kaspersky Lab informuje o wykryciu "Gaussa", nowego cyberzagrożenia atakującego użytkowników na Bliskim Wschodzie. Gauss to złożony, finansowany przez rząd zestaw narzędzi przeznaczony do kradzieży poufnych danych, głównie haseł w przeglądarkach, danych uwierzytelniających związanych z bankowością online, ciasteczek oraz określonych konfiguracji zainfekowanych maszyn.

Polecane sklepy

RTV Euro AGDMedia ExpertMedia MarktNEONET

Funkcja trojana bankowego zidentyfikowana w Gaussie stanowi nietypową cechę, niespotkaną w żadnej znanej wcześniej cyberbroni. Gauss został wykryty podczas trwającej inicjatywy zapoczątkowanej przez International Telecommunication Union (ITU) po wykryciu Flame’a. Jej celem jest zmniejszenie ryzyka ze strony cyberbroni, co stanowi kluczowy element działań zmierzających do osiągnięcia nadrzędnego celu, jakim jest globalny cyberpokój. Eksperci z Kaspersky Lab wykryli Gaussa poprzez zidentyfikowanie cech wspólnych tego szkodliwego programu ze zidentyfikowaną wcześniej cyberbronią Flame. Obejmują one podobieństwa w architekturze, strukturze modułów, kodzie oraz sposobach komunikacji z serwerami wykorzystywanymi przez cyberprzestępców do kontrolowania tych zagrożeń.

Najważniejsze fakty

  • Analiza wskazuje, że Gauss funkcjonuje od września 2011 r.
  • Po raz pierwszy został wykryty w czerwcu 2012 na podstawie informacji uzyskanych w wyniku dogłębnej analizy i badań przeprowadzonych na szkodniku Flame.
  • Odkrycie to było możliwe dzięki wyraźnym podobieństwom i związkom między Flamem i Gaussem.
  • Infrastruktura serwerów kontrolujących Gaussa została zamknięta w lipcu 2012 r., niedługo po wykryciu go. Obecnie szkodnik ten znajduje się w stanie uśpienia, czekając, aż serwery znów staną się aktywne.
  • Od końca maja 2012 r. oparty na chmurze system bezpieczeństwa firmy Kaspersky Lab zarejestrował ponad 2 500 infekcji, a łączna liczba ofiar Gaussa szacowana jest na dziesiątki tysięcy. Liczba ta jest niższa w porównaniu ze Stuxnetem, ale stosunkowo wyższa niż w przypadku Flame’a oraz Duqu.
  • Gauss kradnie szczegółowe informacje o zainfekowanych komputerach PC, łącznie z historią przeglądarki, ciasteczkami, hasłami oraz konfiguracjami systemu. Potrafi również kraść dane uwierzytelniające dostęp do różnych systemów bankowości online oraz metod płatności.
  • Z analizy Gaussa wynika, że szkodnik ten został stworzony w celu kradzieży danych z kilku libańskich banków, w tym Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank oraz Credit Libanais. Ponadto, atakuje również użytkowników Citibanku oraz PayPala.

[[[zdjecie,7549,prawa]]] Gauss został wykryty przez ekspertów Kaspersky Lab w czerwcu 2012 r. Jego główny moduł został nazwany przez nieznanych twórców od nazwiska niemieckiego matematyka Johanna Carla Friedricha Gaussa. Inne komponenty również noszą nazwy sławnych matematyków, np. Joseph-Louis Lagrange czy Kurt Gödel. Badanie wykazało, że pierwsze incydenty z udziałem Gaussa miały miejsce już we wrześniu 2011 r. W lipcu 2012 r. serwery kontroli Gaussa przestały działać. Liczne moduły Gaussa służą do gromadzenia informacji z przeglądarek, łącznie z historią odwiedzanych stron i hasłami. Do osób atakujących przesyłane są również szczegółowe dane dotyczące zainfekowanej maszyny, w tym dane dotyczące interfejsów sieciowych, sterowników komputerowych oraz informacje o BIOS-ie. Moduł Gaussa potrafi również kraść dane klientów kilku libańskich banków, w tym Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank oraz Credit Libanais. Atakuje również użytkowników Citibanku i PayPala.

Inną główną funkcją Gaussa jest zdolność infekowania urządzeń USB za pośrednictwem tej samej luki, którą wykorzystywał wcześniej Stuxnet i Flame. Proces infekowania urządzeń USB jest jednak w tym przypadku bardziej „inteligentny”. Gauss potrafi „wyleczyć” takie urządzenie w niektórych okolicznościach i wykorzystuje nośnik wymienny do przechowywania zgromadzonych informacji w ukrytym pliku. Innym działaniem trojana jest instalowanie w systemie specjalnej czcionki o nazwie „Palida Narrow”, jednak cel tej czynności nadal nie jest znany. O ile Gauss przypomina Flame’a pod względem projektu, rozkład geograficzny infekcji jest już wyraźnie inny. Największa liczba komputerów zainfekowanych przez Flame’a została odnotowana w Iranie, natomiast większość ofiar Gaussa było zlokalizowanych w Libanie. Liczba infekcji również jest inna. Na podstawie telemetrii Kaspersky Security Network (KSN), eksperci z Kaspersky Lab ustalili, że Gauss zainfekował około 2 500 maszyn. Dla porównania, Flame zainfekował znacznie mniej, bo prawie 700 maszyn. Chociaż dokładna metoda wykorzystywana do infekowania komputerów nie jest jeszcze znana, nie ma wątpliwości, że Gauss rozprzestrzenia się w inny sposób niż Flame czy Duqu. Jednak, podobnie jak w przypadku dwóch poprzednich broni cyberszpiegowskich, rozprzestrzenianie Gaussa odbywa się w sposób kontrolowany, sugerujący dyskrecję całej operacji.

źródło: kaspersky lab

agdrtv24
NASZE SERWISY
  • agdrtv24
  • pięknydom24
  • informacje branżowe