Kaspersky Lab a anunţat recent descoperirea lui Gauss, un instrument de spionaj cibernetic, finanţat de un stat. Gauss are capacitatea de a fura multiple categorii de informaţii, în special parolele introduse în browser, detaliile conturilor de online banking şi configuraţiile de sistem ale computerelor infectate. Experţii Kaspersky Lab au identificat Gauss în urma asemănărilor acestuia cu virusul Flame. Încă din mai 2012, peste 2.500 de infecţii cu Gauss au fost înregistrate de sistemul de securitate cloud al Kaspersky Lab, majoritatea fiind localizate în Orientul Mijlociu.
Kaspersky Lab a publicat o analiză a Gauss, care prezintă funcţiile şi caracteristicile primare ale acestuia, pe lângă arhitectura, modulele unice, metodele de comunicare cu serverele de comandă şi control (C&C), precum şi statisticile referitoare la infecţiile cu acest malware. Însă, câteva întrebări şi mistere legate de Gauss rămân nerezolvate, unul dintre aceste mistere fiind o structură de informaţie criptată („encrypted payload”), creată pentru a iniţia o acţiune în momentul în care infectează computerul.
Structura criptată este localizată în modulele USB de sustragere a datelor şi este creată pentru a ţinti numai un anumit sistem (sau sisteme), care au un program special instalat pe ele. Imediat ce stick-ul USB este introdus în computerul vulnerabil, malware-ul este executat şi încearcă să interpreteze structura de informaţie prin crearea unei chei de decriptare. Cheia respectivă este generată prin intermediul configuraţiilor specifice de sistem din computer. De exemplu, poate include numele unui fişier localizat în Program Files, care trebuie să aibă primul caracter scris într-un şir de caractere extins, precum arabic sau evreiesc. Dacă malware-ul identifică respectivele configuraţii de sistem, atunci va decripta şi executa acea structură de informaţie.
„Pentru moment, scopul şi funcţiile acestei structuri criptate rămân un mister”, spune Alks Gostev, Chief Security Expert, Global Research and Analysis Team, Kaspersky Lab. „Utilizarea criptografiei şi gradul ridicat de precauţie pentru ascunderea lui indică faptul că victimele ţintite de această structură erau de rang înalt. Mărimea structurii de cod reprezintă, de asemenea, o îngrijorare. Aceasta este suficient de mare pentru a conţine cod utilizat în spionaj cibernetic, similar codului SCADA din Stuxnet. Decriptarea acestei structuri ne va oferi o mai bună înţelegere a obiectivului principal din spatele Gauss, precum şi a naturii acestui malware”, completează Gostev.
Mai multe detalii, precum şi o descriere tehnică a problemei, sunt disponibile în articolul de aici: https://www.securelist.com/en/blog?weblogid=208193781.