Виявлено складний вірус, що використовується в якості кіберзброї

0
129

«Лабораторія Касперського» виявила на Близькому Сході ще одну складну шкідливу програму, яку експерти віднесли до класу кіберзброї. Особливість нового трояна, названого по імені німецького математика Йоганна Карла Фрідріха Гаусса, полягає в тому, що він, крім іншого шпигунського функціоналу, спрямований на крадіжку фінансової інформації користувачів заражених комп’ютерів. Gauss таємно пересилає на сервера управління паролі, введені або збережені в браузері, файли cookie, а також подробиці конфігурації інфікованої системи.

Гаусса був виявлений в ході масштабної кампанії, ініційованої Міжнародним союзом електрозв’язку (International Telecommunication Union, ITU) після виявлення Flame. Її глобальною метою є скорочення ризиків, пов’язаних із застосуванням кіберзброї, і збереження миру в кіберпросторі.

Численні модулі Гаусса призначені для збору інформації, що міститься в браузері, включаючи історію відвідуваних сайтів і паролі, використовувані в онлайн-сервісах. Крім того, хакери отримували детальну інформацію про зараженому комп’ютері, в тому числі подробиці про мережеві інтерфейси, дискових накопичувачах, а також дані BIOS. Троянець Гаусса може красти конфіденційну інформацію у клієнтів ряду ліванських банків, таких як Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank і Credit Libanais. Крім того, його метою є клієнти Citibank і користувачі електронної платіжної системи PayPal.

Ще однією важливою особливістю Гаусса є те, що він заражає USB-накопичувачі, використовуючи ту ж саму уразливість, що і Stuxnet і Flame. Однак процес інфікування флешек відрізняється від попередників наявністю певної інтелектуальної складової. Так, використовуючи знімний накопичувач для зберігання зібраної інформації в одному з прихованих файлів, при певних умовах Гаусса може видалити себе і всі вкрадені дані. Ще однією характерною рисою троянця є встановлення спеціального шрифту Palida Narrow. Однак її зміст поки не ясний.

Незважаючи на те, що Гаус і Flame мають багато спільного за своєю структурою, їх географія зараження серйозно різниться. Максимальна кількість комп’ютерів, уражених Flame, припадає на Іран, тоді як більшість жертв Гаусса знаходиться у Лівані. Число заражених також значно відрізняється. За даними “хмарної” системи моніторингу Kaspersky Security Network, Gauss заразив близько 2,5 тисяч комп’ютерів, у той час як жертв Flame було всього близько 700.

Хоча точний спосіб зараження ще не встановлений, експерти впевнені, що поширення Гаусса відбувається за іншим сценарієм, ніж Flame або Duqu. Проте варто відзначити, що також як і в більш ранніх кібершпигунів процес поширення трояна є строго контрольованим, що говорить про намір якомога довше залишатися непоміченим.

Проведений аналіз показує, що вперше Гаус почав діяти у вересні 2011 року. Виявити троянця вдалося лише в червні 2012 року завдяки наявності у нього низки спільних рис з Flame. Інфраструктура управління Гаусса була відключена в липні 2012 року, незабаром після виявлення троянця. В даний час шкідлива програма знаходиться в неактивному стані, очікуючи команд від серверів.

Починаючи з кінця травня 2012 року, хмарна система моніторингу «Лабораторії Касперського» виявила понад 2,5 тис. заражень. Загальна ж кількість жертв Гаусса може обчислюватися десятками тисяч. Це менше, ніж у хробака Stuxnet, але значно більше, ніж у Flame і Duqu.

Відповісти

Please enter your comment!
Please enter your name here