Compania Kaspersky Lab a anuntat ca in timpul cercetarilor legate de malware-ul Flame a descoperit o noua amenintare cibernetica sofisticata ce a primit numele matematicianului german Gauss. Noul malware fura informatii detaliate despre PC-ul infectat, dar mai ales poate sa adune datele de autentificare pentru diferite sisteme de plata online si conturi de online banking. Se estimeaza ca Gauss a atacat circa 2.500 de computere, mai ales in Liban.

Compania rusa spune ca functionalitatea de troian pentru conturile de online banking identificata in Gauss reprezinta o caracteristica unica, nemaiintalnita pana acum in instrumentele de spionaj cibernetic finantate de state.

Gauss a fost descoperit in timpul cercetarilor initiate de Uniunea Internationala a Telecomunicatiilor (ITU) imediat dupa descoperirea Flame . Eforturile acestei organizatii au rolul de a diminua riscurile cauzate de amenintarile informatice, cu scopul mentinerii pacii in mediul cibernetic.

Expertii Kaspersky Lab au descoperit Gauss prin identificarea unor asemanari cu Flame. Printre acestea se numara platforma similara, structurile modulelor componente, codurile de criptare si caile de comunicare cu serverele de comanda si control (C&C).

Gauss a devenit operational in luna septembrie 2011 si a fost identificat in iunie 2012, ca urmare a informatiilor stranse in timpul analizei in profunzime si a cercetarii realizate pentru virusul Flame.

Descoperirea a fost posibila datorita asemanarilor puternice dintre Flame si Gauss. Infrastructura C&C a Gauss a fost inchisa in iulie 2012, la scurt timp dupa ce malware-ul a fost descoperit. In momentul de fata, Gauss se afla in stare latenta, asteptand reactivarea serverelor de comanda si control (C&C).

De la finalul lunii mai 2012, peste 2500 de infectari au fost inregistrate de sistemul de securitate ￢cloud￢ al Kaspersky Lab, cu un numar de victime total estimat la nivelul zecilor de mii. Numarul este mai mic decat cel al victimelor Stuxnet, dar mai ridicat decat cel al victimelor Flame si Duqu, se precizeaza in informarea Kaspersky.

Gauss fura informatii detaliate despre PC-ul infectat, inclusiv istoricul browser-ului, cookie-uri, parole si configuratii de sistem. De asemenea, este capabil sa adune datele de autentificare pentru diferite sisteme de plata online si conturi de online banking.

Analiza Gauss a aratat faptul ca a fost creat pentru a fura date de la diferite banci, in special banci libaneze, precum Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank si Credit Libanais. In plus, acesta tintea si clientii Citibank si PayPal.

Modulul principal al acestui malware a fost numit de catre creatorii sai dupa matematicianul de origine germana, Johann Carl Friedrich Gauss. De asemenea, alte componente ale acestuia poarta numele unor matematicieni sau filosofi celebri, ca Joseph Louis Lagrange si Kurt Godel. Investigatiile au dezvaluit faptul ca primele incidente informatice atribuite lui Gauss dateaza din luna septembrie 2011. In iulie 2012, serverele de comanda si control ale acestuia au incetat sa mai functioneze.

Mai multe module ale lui Gauss au rolul de a colecta informatii din browser-ele web, inclusiv a istoricului site-urilor vizitate si a parolelor. Atacatorilor le sunt trimise si detalii referitoare la computerul infectat, date specifice interfetelor de retea, driver-elor de sistem si informatii despre BIOS. Gauss este capabil sa fure date de la clientii unor banci libaneze, precum Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank si Credit Libanais. In plus, acesta tintea si clientii Citibank si PayPal.

Cu toate ca Gauss este foarte asemanator cu Flame, geografia infectarilor este diferita. Cele mai multe computere infectate de Flame se aflau in Iran, in timp ce majoritatea victimelor lui Gauss sunt localizate in Liban. Numarul infectiilor este, de asemenea, diferit. Cifrele Kaspersky Security Network (KSN) arata ca acesta a infectat aproximativ 2.500 de computere, comparativ cu cele 700 compromise cu Flame.

Cu toate ca metoda exacta folosita pentru infectarea PC-urilor nu este cunoscuta inca, nu exista niciun dubiu in faptul ca Gauss se raspandeste diferit fata de Flame sau Duqu. Cu toate acestea, asemenea ultimelor doua arme cibernetice descoperite, mecanismele de propagare sunt realizate intr-o maniera controlata, cu accent pe camuflarea si pastrarea secreta a operatiunilor.

"Gauss seamana izbitor cu Flame atat la design, cat si la nivelul bazei de cod, lucru care ne-a ajutat la identificarea lui", spune Alexander Gostev, Chief Security Expert la Kaspersky Lab. "Asemenea lui Flame si Duqu, Gauss este un instrument complex de spionaj cibernetic, cu un design creat special pentru camuflaj. Insa, scopul lui a fost diferit de cel al Duqu si Flame - Gauss tinteste utilizatori din mai multe tari, pentru a fura cantitati mari de date, in special informatii financiare si de banking", mai spune Gostev.