14:09
10/8/2012

Po raz pierwszy zaatakował we wrześniu 2011, ale świat dowiaduje się o nim dopiero teraz. Powstał na tej samej platformie co wcześniejsze, sponsorowane przez najprawdopodobniej CIA i Mossad projekty o nazwach Stuxnet, Duqu, Flame. Tym razem celuje w kradzież danych dotyczących …kont bankowych.

Gauss, następca Flame?

Gauss podobnie jak poprzednicy, to jest Stuxnet, Duqu i Flame został stworzony w tym samym frameworku i dzieli ze swoimi starszymi braćmi część kodu (m.in. funkcje opowiedzialne za infekcję via USB). Nazwa pochodzi od nieusuniętych z kodu danych do debbugingu, w których zachowała się ścieżka d:\projects\gauss

Gauss

Rodzina rządowego malware: Stuxnet, Duqu, Flame, Gauss (fot. securelist.com)

Co potrafi Gauss?

    – przechwytuje ciastka i hasła z przeglądarek
    – wykrada pliki konfiguracyjne i wysyła je autorom trojana
    – infekuje dyski USB
    – kradnie dane dostępowe do banków (głównie ze Środkowego Wschodu: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank, Credit Libanais, Citibank, PayPal.)
    – kradnie dane dostępowe do portali społecznociowych, skrzynek e-mail i kont IM

Co ciekawe, jednym z efektów infekcji Gaussem jest instalacja czcionki Palida Narrow. W sieci już powstała strona, która po wejściu weryfikuje czy internauta ma w swoim systemie tę czcionkę czy nie — dzięki niej można sprawdzić, czy jesteśmy zainfekowani Gaussem.

Rozkład infekcji Gaussem

Rozkład infekcji Gaussem

Ale infekcje w Polsce są mało prawdopodobne, trojan zdaje się być pisany na obszar Środkowego Wschodu i skupia się na wykradaniu danych związanych z tamtejszymi firmami finansowymi. Poza tym, najprawdopodobniej Gauss nie zawiera żadnych exploitów 0day, a do infekcji wykorzystuje tą samą podatność w LNK co Stuxnet.

Tajny kod w Gaussie

Najbardziej interesujące w Gaussie jest to, że część jego modułów jest zaszyfrowana — a ich rozszyfrowanie następuje na podstawie klucza generowanego na bazie ustawień systemowych zainfekowanego hosta. To oznacza, że moduły te bedą aktywne tylko na tych komputerach, na których twórcy Gaussa chcieli, aby były aktywne.

C&C Gaussa zostały wyłączone w lipcu 2012 — obecnie więc zainfekowane hosty, a jest ich jedynie ok. 2500, czekają na wskrzeszenie.

O Gaussie poinfomował Kaspersky, który w swoim opisie malware’u dość niespodziewanie puszcza oczko do ITU, oddając hołd tej instytucji. Skąd ta życzliwość — przeczytajcie kontrowersyjny wywiad z Eugenem Kasperskim, dowiecie się wtedy jak wygląda Kaspersky od kuchni i jakim celu stosuje takie polityczne zagrywki…

Przeczytaj także:



19 komentarzy

Dodaj komentarz
  1. Ciekawe co jest na literkę A, było przed Stuxnetem, a o czym jeszcze nie wiemy… :D

    • America ? :]

    • Assembler. The Key to Universe.

    • chronologicznie to leci tak: F, S, D, G, a nie: S, D, F, G

  2. A co jeśli wszyscy żyjemy w matriksie… i te ataki są przejawem zwalczania ruchu oporu… Przeciw: Wiki liki i inne bziki.
    A te konta bankowe to proxy realnego świata…. eeee. raczej nie…
    Amerykańce znowu szukają haków na innych by mieć w nich sojuszników do forsowania swoich “świętych praw, pradw” bo oni wiedzą lepiej co kto lubi i jaki powinien być i że ma płacić podatki na Amerykę (ACTA skrakta, ekstradycje i inny bullshit ),
    … bo ona jest kolebką ludzkości… ech ten kreacjonizm post factum.
    Czemu to robią… bo mogą…
    Kasa rodzi kasę. Dla nich to najznamienitszy cud.
    Zresztą bardziej są jak Borgowie, asymilują ze sobą i pod siebie wszystko…
    A to że są to wysoce wyspecjalizowane i nakierowane ataki sugeruje, iż mają w tym duuuży interes…

    • Są gorsi niż Borg, Borg deklaruje co z Tobą zrobi a oni doprowadzają do stanu w którym sam chcesz być przez nich zasymilowany!

    • A co jeśli żyjemy w świecie my little ponnys?

    • Ja tam nikomu kuca nie oglądam…
      Ale gdy by tak było jak mówisz, xyz-ecie, to zapewne byłby świat Azjatów.

  3. Czuję podobieństwo “Cyfrowej Twierdzy” Dana Browna w tym temacie.

  4. Myślę, że za rok, góra dwa, tego typu rządowe przedsięwzięcia przestaną kogokolwiek dziwić.
    A może… Amerykanie zapowiedzieli, że atak komputerowy będą traktować jak zbrojny. Może inne państwa pójdą tym śladem? Wyobraźmy sobie, że to irański wirus infekuje komputery w Izraelu i USA. Huhuhuu! Za rok o tej samej porze odbyłyby się tam ‘demokratyczne’ wybory, a ceny benzyny poleciałyby w dół;)

  5. Nie zdziwiłbym się gdyby mieli backdoory w rozrusznikach serca.

  6. Albert: Ja mam wrażenie że tak już jest od jakiegoś dłuższego czasu … Przykład: http://www.chip.pl/news/wydarzenia/prawo-i-polityka/2011/03/indie-wprowadza-zakaz-korzystania-z-blackberry-google-i-skypea Ps. Pozostało nam czekać na człowieka w drucianych okularach z dziwnym kieszonkowym komputerem ;D

  7. Wczoraj jadłem pistacje z Biedronki z Iranu – ciekawe, jak plantator dostaje forsę :)

    • Ostrzegam, ze za wkejanie linkow do natemat bedziemy banowali. Wpisuje do regulaminu serwisu. :)

  8. Pierwszy projekt na A – android

  9. Ciekawe czy kolejne co znajdziemy będzie na H.

    • HIV. Podobno też stworzyło go USA. :-)

  10. […] Architektura GrayFisha jest wielopoziomowa. Jego komponenty, zaszyfrowane, rezydują w kluczach rejestru Windows. To sprawia że są praktycznie niewidzialne dla oprogramowania antywirusowego. GrayFish zacznie działać tylko, jeśli został osadzony na konkretnym komputerze (dane z komputera składają się na klucz, który rozpoczyna wielostopniowy proces rozszyfrowywania komponentów trojana). W ten sam sposób działał Gauss. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: