Сразу две организации накануне представили свое программное обеспечение, позволяющее пользователям бесплатно проверить свои компьютеры на наличие нового "кибероружия" Gauss, об обнаружении которого заявила на неделе "Лаборатория Касперского". Данный код, судя по всему, создавался по заданию одного или нескольких правительственных ведомств для кражи финансовых данных у пользователей на Ближнем Востоке.
Gauss был обнаружен в ходе масштабной кампании, инициированной Международным союзом электросвязи (International Telecommunication Union, ITU) после выявления Flame. Ее глобальной целью является сокращение рисков, связанных с применением кибероружия, и сохранение мира в киберпространстве. С помощью экспертной поддержки, осуществляемой специалистами «Лаборатории Касперского», ITU предпринимает важные шаги в направлении укрепления глобальной кибербезопасности – при активной поддержке со стороны ключевых партнеров по инициативе ITU-IMPACT, правительств и частных организаций, а также гражданского общества.
Обнаружение Gauss экспертами стало возможным благодаря наличию в троянце ряда черт, объединяющих его со сложной вредоносной программой Flame. Сходства прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления.
Новая вредоносная программа была обнаружена «Лабораторией Касперского» в июне 2012 года. Ее основной шпионский модуль был назван создателями (которые пока остаются неизвестными) в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца также носят имена известных математиков: Жозефа Луи Лагранжа и Курта Гёделя. Проведенное исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011 года. Однако командные сервера вредоносной программы прекратили свою работу только в июле 2012 года.
Многочисленные модули Gauss предназначены для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Кроме того, атакующие получали детальную информацию о зараженном компьютере, в том числе подробности о сетевых интерфейсах, дисковых накопителях, а также данные BIOS. Троянец Gauss может красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal, передает cybersecurity.ru.
В пятницу свои бесплатные инструменты для обнаружения и удаления Gauss представили в "Лаборатории Касперского", а также Лаборатория криптографии и системной безопасности Университета Технологий и Экономики Будапешта. Оба инструмента разрабатывались независимо друг от друга, но оба базируются на обнаружении кастомизированного шрифта Palida Narrow, который Gauss размещает на зараженной машине.
Инструмент от "Лаборатории Касперского" доступен по адресу - https://www.securelist.com/en/blog/724/Online_Detection_of_Gauss , разработка инженеров из Будапешта доступна по адресу http://gauss.crysys.hu/results.php.
На данный момент разработчики не дают объяснений относительно того, что именно делает шрифт в системе, однако есть подозрение, что он использует некую публично неизв естную уязвимость в Microsoft Word для взлома системы.
На сегодня эксперты с уверенностью говорят, что Gauss заражает преимущественно 32-битные Windows-системы, однако шпионский модуль способен "слушать" и 64-битные Windows. Заражению подвержены все ныне поддерживаемые Windows - от XP до 7. Gauss не работает на Linux или Mac OS.
Кроме того, на сегодня известно, что пока Gauss по большей части работает только на Ближнем Востоке. 1660 случаев заражения зафиксировано в Ливане, 483 в Израиле, 261 на палестинских территориях. В "Лаборатории Касперского" говорят, что всего ими было зафиксировано около 2500 случаев заражения Gauss.
