Математическая атака

Георгий Пуляевский
14 августа 2012, 16:51

На прошлой неделе всем известная «Лаборатория Касперского» опубликовала на своем сайте информацию о обнаружении банковского троянца государственного масштаба. По мнению сотрудников компании, этот вирус вполне можно назвать одним из самых опасных вариантов кибероружия, сделанного за всю историю хакерских атак. Вирус, названный по имени известного немецкого математика Иоганна Карла Фридриха Гаусса, имеет целый ряд неожиданных особенностей.

Иллюстрация: Эксперт Online
Gauss настроен на кражу финансовой информации пользователей зараженных компьютеров

Главной из этих особенностей является то, что помимо стандартного для вирусов последнего поколения шпионского функционала, он настроен на кражу финансовой информации пользователей зараженных компьютеров. Gauss скрытно пересылает на сервера управления пароли, введенные или сохраненные в браузере, файлы cookie, а также подробности конфигурации инфицированной системы.

Наличие в Gauss функционала банковского троянца является уникальным случаем, ранее никогда не встречавшимся среди вредоносных программ, которые принято относить к классу кибероружия. Вирус был обнаружен в ходе масштабной кампании, инициированной Международным союзом электросвязи (International Telecommunication Union, ITU) после выявления недавнего выявления вируса Flame.

Именно определенная схожесть в строении вируса помогла экспертам обнаружить его. Похожие черты прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления. Программа была обнаружена в июне этого года, ее основной шпионский модуль был назван создателями (которые пока остаются неизвестными) в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца также носят имена математиков: Жозефа Луи Лагранжа и Курта Гёделя.

Многочисленные модули Gauss предназначены для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Кроме того, атакующие получали детальную информацию о зараженном компьютере, в том числе подробности о сетевых интерфейсах, дисковых накопителях, а также данные BIOS. Хакеры научили троянец красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal.

По мнению экспертов, нельзя забывать и о том, что вирус может заражать USB-накопители, используя ту же самую уязвимость, что и Stuxnet, и Flame. Однако процесс инфицирования флэшек отличается от предшественников наличием определенной интеллектуальной составляющей. Так, используя съемный накопитель для хранения собранной информации в одном из скрытых файлов, при определенных условиях Gauss может удалить себя и все украденные данные. Еще одной характерной чертой троянца является установка специального шрифта Palida Narrow. Однако ее смысл пока не ясен.

Несмотря на то, что Gauss и Flame имеют много общего по своей структуре, их география заражения серьезно разнится. Максимальное количество компьютеров, пораженных Flame, приходится на Иран, тогда как большинство жертв Gauss находится в Ливане. Число зараженных также значительно отличается. По данным облачной системы мониторинга Kaspersky Security Network, Gauss заразил порядка 2,5 тыс. компьютеров, в то время как жертв Flame было всего около 700.

Хотя точный способ заражения еще не установлен, эксперты уверены, что распространение Gauss происходит по иному сценарию, нежели Flame или Duqu. Однако стоит отметить, что так же, как и у более ранних кибершпионов, процесс распространения троянца является строго контролируемым, что говорит о намерении как можно дольше оставаться незамеченным.

В настоящий момент вирус не является активным, инфраструктура троянца была отключена его операторами в июле этого года. Однако за время своей активности червь смог заразить на порядок большее количество машин, нежели его собратья Duqu и Flame. И, по всей видимости, именно этот факт заставляет российских и европейских экспертов «бить» очередную кибертревогу.