«Лаборатория Касперского» обнаружила на Ближнем Востоке вредоносную программу Gauss (Trojan-Spy.Win32.Gauss), которую специалисты тоже отнесли к классу кибероружия. Троян создан для шпионажа и сбора финансовой информации с заражённых компьютеров. Впервые среди троянов, которые принято относить к государственным разработкам, встречается программа специфической финансовой направленности, хотя для обычных зловредов это не редкость. Gauss обнаружен в ходе масштабной кампании, инициированной Международным союзом электросвязи (ITU) после обнаружения Flame. «Лаборатория Касперского» активно участвует в этой кампании, разоблачая всё новые проекты западных спецслужб. Именно таким образом в июне 2012 года был выявлен Gauss, названный своими создателями в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца также носят имена известных математиков, в том числе Жозефа Луи Лагранжа и Курта Гёделя. В структуре Gauss явно прослеживается родственная связь с Flame: это архитектура, модульная структура, а также способы связи с серверами управления. Gauss заражает USB-накопители, используя ту же самую уязвимость, что и Stuxnet, и Flame, хотя и обладает продвинутой возможностью самоудаляться с флэшки. «Gauss очень похож на Flame по структуре и коду. Собственно именно это и позволило нам его обнаружить, — говорит Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». — Также как Flame и Duqu, Gauss представляет собой сложную программу, предназначенную для ведения кибершпионажа с особым акцентом на скрытность действий. Однако, цели недавно обнаруженного троянца совсем иные: Gauss заражает пользователей в чётко определенных странах и крадёт большие объёмы данных». Многочисленные модули предназначены для сбора информации в браузере, подробности о сетевых интерфейсах, дисковых накопителях, данные BIOS. Троянец крадёт конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal. Три основные страны, подвергшиеся заражению Gauss, показаны на карте. Расследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011 года, а командные серверы прекратили свою работу в июле 2012 года, после обнаружения трояна антивирусными компаниями. Дата: 09.08.2012 http://www.xakep.ru/post/59129/
Появились первые бесплатные инструменты для обнаружения и лечения "кибероружия" Gauss Сразу две организации накануне представили свое программное обеспечение, позволяющее пользователям бесплатно проверить свои компьютеры на наличие нового "кибероружия" Gauss, об обнаружении которого заявила на неделе "Лаборатория Касперского". Данный код, судя по всему, создавался по заданию одного или нескольких правительственных ведомств для кражи финансовых данных у пользователей на Ближнем Востоке. Gauss был обнаружен в ходе масштабной кампании, инициированной Международным союзом электросвязи (International Telecommunication Union, ITU) после выявления Flame. Ее глобальной целью является сокращение рисков, связанных с применением кибероружия, и сохранение мира в киберпространстве. С помощью экспертной поддержки, осуществляемой специалистами «Лаборатории Касперского», ITU предпринимает важные шаги в направлении укрепления глобальной кибербезопасности – при активной поддержке со стороны ключевых партнеров по инициативе ITU-IMPACT, правительств и частных организаций, а также гражданского общества. Обнаружение Gauss экспертами стало возможным благодаря наличию в троянце ряда черт, объединяющих его со сложной вредоносной программой Flame. Сходства прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления. Новая вредоносная программа была обнаружена «Лабораторией Касперского» в июне 2012 года. Ее основной шпионский модуль был назван создателями (которые пока остаются неизвестными) в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца также носят имена известных математиков: Жозефа Луи Лагранжа и Курта Гёделя. Проведенное исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011 года. Однако командные сервера вредоносной программы прекратили свою работу только в июле 2012 года. Многочисленные модули Gauss предназначены для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Кроме того, атакующие получали детальную информацию о зараженном компьютере, в том числе подробности о сетевых интерфейсах, дисковых накопителях, а также данные BIOS. Троянец Gauss может красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal. В пятницу свои бесплатные инструменты для обнаружения и удаления Gauss представили в "Лаборатории Касперского", а также Лаборатория криптографии и системной безопасности Университета Технологий и Экономики Будапешта. Оба инструмента разрабатывались независимо друг от друга, но оба базируются на обнаружении кастомизированного шрифта Palida Narrow, который Gauss размещает на зараженной машине. Инструмент от "Лаборатории Касперского" доступен по адресу - https://www.securelist.com/en/blog/724/Online_Detection_of_Gauss , разработка инженеров из Будапешта доступна по адресу http://gauss.crysys.hu/results.php. На данный момент разработчики не дают объяснений относительно того, что именно делает шрифт в системе, однако есть подозрение, что он использует некую публично неивзестную уязвимость в Microsoft Word для взлома системы. На сегодня эксперты с уверенностью говорят, что Gauss заражает преимущественно 32-битные Windows-системы, однако шпионский модуль способен "слушать" и 64-битные Windows. Заражению подвержены все ныне поддерживаемые Windows - от XP до 7. Gauss не работает на Linux или Mac. Кроме того, на сегодня известно, что пока Gauss по большей части работает только на Ближнем Востоке. 1660 случаев заражения зафиксировано в Ливане, 483 в Израиле, 261 на палестинских территориях. В "Лаборатории Касперского" говорят, что всего ими было зафиксировано около 2500 случаев заражения Gauss. (04:25) 11.08.2012 http://cybersecurity.ru/crypto/157389.html
«Лаборатория Касперского» просит помощи в расшифровке Gauss Исследователи «Лаборатории Касперского» опять обратились за помощью к сообществу, столкнувшись с непосильной задачей. Напомним, в прошлый раз они просили помочь определить, на каком языке программирования написан фреймворк Duqu. Люди помогли советом — и правильный ответ в итоге нашли. Теперь перед специалистами возникла задача посложнее — троян Gauss, предположительно созданный государственными спецслужбами. Эта программа по сложности почти не уступает Flame и относится к тому же классу вредоносного программного обеспечения. По некоторым признакам можно предположить, что Gauss и Flame созданы близкими командами программистами, которые в процессе работы делились друг с другом результатами труда. Gauss способен заражать компьютеры некоей конкретной конфигурации, очевидно, это инструмент узкотаргетированной атаки. Расшифровав ключ, который генерируется на основе конфигурации компьютера, можно будет понять, против кого конкретно был разработано оружие. См. подробный анализ Gauss. Сообщение на сайте «Лаборатории Касперского»: Зашифрованный функционал троянца содержится в специальных модулях, отвечающих за кражу информации и хранение её на USB-накопителе, и позволяет злоумышленникам атаковать только те системы, которые имеют определённый набор установленных программ. После того, как заражённая флэшка подключается к уязвимому компьютеру, вредоносная программа активируется и пытается расшифровать содержимое с помощью специального ключа. Ключ же составляется на основании данных о специфической конфигурации системы инфицированного компьютера. Так, например, он включает название папки в разделе Program Files, первая буква которой написана символом из расширенного набора, например на арабском или иврите. Если конфигурация соответствует «эталонной», ключ отдаёт команду на расшифровку и исполнение содержимого. «На сегодняшний день вопросы о предназначении и функционале зашифрованного модуля остаются без ответа. Использование криптографических методов и меры, которые предприняли авторы зашифрованного модуля для того, чтобы он как можно дольше оставался незамеченным, говорят о высоком уровне целей злоумышленников, — говорит Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». — Особое внимание стоит уделить размеру зашифрованного модуля. Он достаточно велик для того, чтобы содержать в себе код, который может быть использован для кибершпионажа и по размерам сравним с кодом модификации SCADA-систем в черве Stuxnet. Расшифровка содержимого позволит лучше понять как источник этой угрозы, так и её цели». «Лаборатория Касперского» призывает всех тех, кто интересуется криптографией, реверс-инжинирингом и математикой, и хочет принять участие в расшифровке ключей, связаться с экспертами по адресу theflame@kaspersky.com. Дата: 15.08.2012 http://www.xakep.ru/post/59160/