Funcţionalitatea de troian pentru conturile de online banking identificată în Gauss reprezintă o caracteristică unică, nemaiîntâlnită până acum în instrumentele de spionaj cibernetic finantaţe de state.
Gauss a fost descoperit în timpul cercetărilor iniţiate de Uniunea Internaţională a Telecomunicaţiilor (ITU) imediat după descoperirea Flame. Eforturile acestei organizaţii au rolul de a diminua riscurile cauzate de ameninţările informatice, cu scopul menţinerii păcii în mediul cibernetic.
ITU, prin expertiza oferită de Kaspersky Lab, contribuie la întărirea securităţii cibernetice globale prin implicarea activă a guvernelor, sectorului privat, organizaţiilor internaţionale şi a societăţii civile, pe lângă partenerii activi din cadrul iniţiativei ITU-IMPACT.
Experţii Kaspersky Lab au descoperit Gauss prin identificarea unor asemănări cu Flame. Printre acestea se numără platforma similară, structurile modulelor componente, codurile de criptare şi căile de comunicare cu serverele de comandă şi control (C&C).
• Gauss a devenit operaţional în luna septembrie 2011.
• A fost identificat în iunie 2012, ca urmare a informaţiilor strânse în timpul analizei în profunzime şi a cercetării realizate pentru virusul Flame.
• Descoperirea a fost posibilă datorită asemănărilor puternice dintre Flame şi Gauss.
• Infrastructura C&C a Gauss a fost închisă în iulie 2012, la scurt timp după ce malware-ul a fost descoperit. În momentul de faţă, Gauss se află în stare latentă, aşteptând reactivarea serverelor de comandă şi control (C&C).
• De la finalul lunii mai 2012, peste 2500 de infecţii au fost înregistrate de sistemul de securitate „cloud“ al Kaspersky Lab, cu un număr de victime total estimat la nivelul zecilor de mii. Numărul este mai mic decât cel al victimelor Stuxnet, dar mai ridicat decât cel al victimelor Flame şi Duqu.
• Gauss fură informaţii detaliate despre PC-ul infectat, inclusiv istoricul browser-ului, cookie-uri, parole şi configuraţii de sistem. De asemenea, este capabil să adune datele de autentificare pentru diferite sisteme de plată online şi conturi de online banking.
• Analiza Gauss dezvăluie faptul că a fost creat pentru a fura date de la diferite bănci, în special banci libaneze, precum Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank şi Credit Libanais. În plus, acesta ţintea şi clienţii Citibank şi PayPal.
Modulul principal al acestui malware a fost numit de către creatorii săi după matematicianul de origine germană, Johann Carl Friedrich Gauss. De asemenea, alte componente ale acestuia poartă numele unor matematicieni sau filosofi celebri, ca Joseph Louis Lagrange şi Kurt Gödel. Investigaţiile au dezvăluit faptul că primele incidente informatice atribuite lui Gauss datează din luna septembrie 2011. În iulie 2012, serverele de comandă şi control ale acestuia au încetat să mai funcţioneze.
Mai multe module ale lui Gauss au rolul de a colecta informaţii din browser-ele web, inclusiv a istoricului site-urilor vizitate şi a parolelor. Atacatorilor le sunt trimise şi detalii referitoare la computerul infectat, date specifice interfeţelor de reţea, driver-elor de sistem şi informaţii despre BIOS. Gauss este capabil să fure date de la clienţii unor bănci libaneze, precum Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank şi Credit Libanais. În plus, acesta ţintea şi clienţii Citibank şi PayPal.
Un alt atribut-cheie a noii ameninţări informatice este acela de a infecta stick-uri USB, folosind aceeaşi vulnerabilitate LNK, identificată în Stuxnet şi Flame. Însă, procesul de infectare prin USB este mult mai inteligent – Gauss are capacitatea de a „dezinfecta” stick-ul în anumite circumstanţe şi foloseşte dispozitivul pentru a stoca informaţiile furate într-un fişier ascuns. Pe lângă acestea, troianul instalează un font special – Palida Narrow – al cărui scop nu a fost încă identificat.
Cu toate că Gauss este foarte asemănător cu Flame, geografia infecţiilor este diferită. Cele mai multe computere infectate de Flame se aflau în Iran, în timp ce majoritatea victimelor lui Gauss sunt localizate în Liban. Numărul infecţiilor este, de asemenea, diferit. Cifrele Kaspersky Security Network (KSN) arată că acesta a infectat aproximativ 2500 de computere, comparativ cu cele 700 compromise cu Flame.
Cu toate că metoda exactă folosită pentru infectarea PC-urilor nu este cunoscută încă, nu există niciun dubiu în faptul că Gauss se răspândeşte diferit faţă de Flame sau Duqu. Cu toate acestea, asemenea ultimelor două arme cibernetice descoperite, mecanismele de propagare sunt realizate într-o manieră controlată, cu accent pe camuflarea şi păstrarea secretă a operaţiunilor.
„Gauss seamănă izbitor cu Flame atât la design, cât şi la nivelul bazei de cod, lucru care ne-a ajutat la identificarea lui”, spune Alexander Gostev, Chief Security Expert la Kaspersky Lab. „Asemenea lui Flame şi Duqu, Gauss este un instrument complex de spionaj cibernetic, cu un design creat special pentru camuflaj. Însă, scopul lui a fost diferit de cel al Duqu şi Flame – Gauss ţinteşte utilizatori din mai multe ţări, pentru a fura cantităţi mari de date, în special informaţii financiare şi de banking”, completează Gostev.
În momentul de faţă, troianul Gauss este blocat şi şters cu succes de către toate suitele de securitate Kaspersky Lab. Acesta este identificat sub numele Trojan-Spy.Win32.Gauss.