Κυριακή, 12 Αυγούστου 2012

Gauss: Ο «διάδοχος» του Stuxnet απειλεί τη Μέση Ανατολή



 ΝΑYΤΕΜΠΟΡΙΚΗ: Συναγερμός έχει σημάνει στον κυβερνοχώρο της Μέσης Ανατολής, καθώς, σύμφωνα με την γνωστή εταιρεία κυβερνοασφαλείας Kaspersky Lab, εντοπίστηκε ένας νέος ιός, ο οποίος έχει τη δυνατότητα παρακολούθησης τραπεζικών συναλλαγών και υποκλοπής usernames και κωδικών.



Ο νέος ιός, ο οποίος επονομάστηκε Gauss, ενδεχομένως να έχει τη δυνατότητα προσβολής συστημάτων υποδομών, και εικάζεται πως προήλθε από τους δημιουργούς του διαβόητου Stuxnet: του worm που έπληξε το πυρηνικό πρόγραμμα του Ιράν και που θεωρείται πως ήταν είτε αμερικανικής είτε ισραηλινής προέλευσης.

Σύμφωνα με τις εκτιμήσεις της εταιρείας, ο Gauss έχει μολύνει πάνω από 2.500 υπολογιστές, με τους περισσότερους εξ αυτών να βρίσκονται στο Λίβανο, το Ισραήλ και τις παλαιστινιακές περιοχές. Μεταξύ των τραπεζών που έχουν στοχοποιηθεί είναι η BlomBank, η ByblosBank, η Credit Libanais, η Citibank, αλλά και το σύστημα online πληρωμών, PayPal.

Πέρα από τη «συγγένεια» με το Stuxnet, ο ιός, πάντα κατά την Kaspersky, συνδέεται και με άλλα «κυβερνοόπλα», όπως το DuQu και το Flame- που πλέον θεωρείται πως στην ουσία αποτέλεσαν «αναγνωριστικά» για τον Gauss. Ως λόγος στοχοποίησης των τραπεζών του Λιβάνου και της Μέσης Ανατολής γενικότερα θεωρείται πως είναι η παρακολούθηση πιθανών «καναλιών» χρηματοδότησης εξτρεμιστικών οργανώσεων.

Πέρα από τις δυνατότητες παρακολούθησης που διαθέτει, ο Gauss (από το όνομα του γνωστού μαθηματικού) μπορεί να χρησιμοποιηθεί και για κυβερνοπλήγματα κατά υποδομών, όπως και στην περίπτωση του Stuxnet.

Ένα «τμήμα» του, στο οποίο δόθηκε η ονομασία «Godel», αντιγράφει σε δίσκους USB (οπότε δεν είναι απαραίτητη η σύνδεση με το Ίντερνετ- αρκεί κάποιος να συνδέσει στον υπολογιστή- στόχο ένα USB drive με τον ιό) ένα συμπιεσμένο, κρυπτογραφημένο πρόγραμμα το οποίο αποσυμπιέζεται και ενεργοποιείται μόλις έρθει σε επαφή με το σύστημα που έχει στοχευθεί.

Η κρυπτογράφηση που χαρακτηρίζει τον Gauss είναι εξαιρετικά υψηλού επιπέδου, και η Kaspersky δεν έχει καταφέρει να την «σπάσει» ακόμα- κάτι που, σύμφωνα με αναλυτές, υποδεικνύει την «κρατική προέλευση» του ιού, καθώς, πέρα από το προφανές της απόκρυψης της προέλευσής του, ενδεχομένως να εξυπηρετεί και έναν άλλο σκοπό: το να μην είναι εύκολο να αντιγραφεί και χρησιμοποιηθεί για τη δημιουργία κυβερνοόπλων από αντιπάλους. Επίσης, η επιλογή των στόχων δείχνει ότι στόχος των δημιουργών του δεν ήταν η χρήση του για οικονομικό όφελος.

Ο ιός συλλέγει πληθώρα τεχνικών στοιχείων για τον μολυσμένο υπολογιστή (συνδέσεις δικτύου, διεργασίες, φάκελοι, BIOS, CMOS, RAM, εξωτερικοί και εσωτερικοί σκληροί δίσκοι).

Την πλήρη αναφορά της Kaspersky μπορείτε να δείτε εδώ:
https://www.securelist.com/en/downloads/vlpdfs/kaspersky-lab-gauss.pdf
http://www.naftemporiki.gr/news/cstory.asp?id=2221211




Gauss: Ο ιός που παρακολουθεί online τραπεζικούς λογαριασμούς

ΚΑΘΗΜΕΡΙΝΗ:«Η Kaspersky Lab ανακοινώνει τον εντοπισμό του Trojan “Gauss”, μιας νέας κυβερνοαπειλής που στοχεύει χρήστες στη Μέση Ανατολή. Ο Gauss είναι ένα περίπλοκο εργαλείο ηλεκτρονικής κατασκοπείας, το οποίο έχει αναπτυχθεί με κρατική χρηματοδότηση.

Στόχος του είναι η υποκλοπή ευαίσθητων δεδομένων. Η νέα απειλή επικεντρώνεται σε κωδικούς πρόσβασης, στοιχεία online τραπεζικών λογαριασμών και συγκεκριμένες ρυθμίσεις των συστημάτων που προσβάλει. Η λειτουργικότητα online banking Trojan που εντοπίστηκε στον Gauss είναι ένα μοναδικό χαρακτηριστικό, το οποίο δεν είχε εμφανιστεί σε κανένα από τα μέχρι σήμερα γνωστά όπλα του κυβερνοχώρου.

Ο Gauss εντοπίστηκε στο πλαίσιο της τρέχουσας πρωτοβουλίας της Διεθνούς Ένωσης Τηλεπικοινωνιών (ITU), η οποία ξεκίνησε έπειτα από τον εντοπισμό του ιού Flame. Στόχος της πρωτοβουλίας είναι η μείωση των κινδύνων που προκύπτουν από τα διαδικτυακά όπλα, ώστε να επιτευχθεί ο συνολικότερος στόχος της παγκόσμιας ειρήνης στο Διαδίκτυο. Αξιοποιώντας την εξειδίκευση που προσφέρει η Kaspersky Lab, η ITU κάνει σημαντικά βήματα για την ενίσχυση της ασφάλειας στον κυβερνοχώρο. Στο πλαίσιο αυτό, η ITU συνεργάζεται ενεργά με όλους τους αρμόδιους εταίρους – συμπεριλαμβανομένων κυβερνητικών φορέων, διεθνών οργανισμών, του ιδιωτικού τομέα και της κοινωνίας των πολιτών – πέραν των βασικών της συνεργατών στην πρωτοβουλία “International Multi-lateral Partnership Against Cyberthreats” (Διεθνής Πολυμερής Συνεργασία Εναντίον των Κυβερνοαπειλών – IMPACT).

Οι ειδικοί της Kaspersky Lab ανακάλυψαν την ύπαρξη του Gauss, αναγνωρίζοντας τα κοινά σημεία που μοιράζεται με το κακόβουλο πρόγραμμα Flame. Σε αυτά περιλαμβάνονται η κοινή αρχιτεκτονική πλατφόρμα, οι δομές των βασικών modules, η βάση του κώδικα και τα μέσα επικοινωνίας με command & control (C&C) servers.

Η ανάλυση της νέας απειλής δείχνει ότι η λειτουργία του Gauss ξεκίνησε μέσα στο Σεπτέμβριο του 2011. Εντοπίστηκε για πρώτη φορά τον Ιούνιο του 2012, βάσει της γνώσης που αποκομίστηκε από την ανάλυση και την έρευνα για το κακόβουλο πρόγραμμα Flame. Η C&C υποδομή του Gauss απενεργοποιήθηκε τον Ιούλιο του 2012, λίγο μετά τον εντοπισμό του. Αυτή τη στιγμή, βρίσκεται σε αδρανή κατάσταση, περιμένοντας την ενεργοποίηση των C&C servers του.

Από τα τέλη Μαΐου του 2012, πάνω από 2,500 επιθέσεις έχουν καταγραφεί στο cloud-based σύστημα ασφάλειας της Kaspersky Lab, με τον αριθμό των θυμάτων του Gauss να ανέρχεται πιθανώς σε δεκάδες χιλιάδες. Ο αριθμός αυτός είναι χαμηλότερος σε σχέση με τον αντίστοιχο αριθμό επιθέσεων του ιού Stuxnet, αλλά και σημαντικά υψηλότερος σε σχέση με τις επιθέσεις που πραγματοποιήθηκαν από τα κακόβουλα προγράμματα Flame και Duqu.

Ο Gauss υποκλέπτει λεπτομερείς πληροφορίες σχετικά με τους υπολογιστές που προσβάλλει, συμπεριλαμβανομένου του ιστορικού του browser, των cookies, των κωδικών πρόσβασης και των ρυθμίσεων των συστημάτων. Επίσης μπορεί να υποκλέψει στοιχεία πρόσβασης από διάφορα online τραπεζικά συστήματα και συστήματα πληρωμών.

Η ανάλυση του Gauss δείχνει ότι είχε αναπτυχθεί με στόχο την υποκλοπή δεδομένων από διάφορες τράπεζες με έδρα το Λίβανο, όπως η Bank of Beirut, η EBLF, η BlomBank, η ByblosBank, η FransaBank και η Credit Libanais. Επιπλέον, το νέο Torjan βάζει στο στόχαστρο χρήστες των υπηρεσιών της Citibank και του PayPal.

Το βασικό module του ιού, του οποίου οι δημιουργοί παραμένουν άγνωστοι, πήρε την ονομασία του από τον Γερμανό μαθηματικό Johann Carl Friedrich Gauss. Επίσης, ονόματα γνωστών μαθηματικών, όπως ο Joseph-Louis Lagrange και ο Kurt Godel, έχουν δοθεί σε άλλα μέρη του ιού.

Διάφορα modules του Gauss συλλέγουν πληροφορίες από browsers, όπως το ιστορικό και οι κωδικοί πρόσβασης. Επίσης, οι επιτιθέμενοι λάμβαναν αναλυτικά δεδομένα για τα συστήματα που προσβάλλονταν από τον ιό, όπως λεπτομέρειες για τα network interfaces και τους δίσκους των υπολογιστών, καθώς και πληροφορίες το BIOS των συστημάτων.

Ένα ακόμη βασικό χαρακτηριστικό του Gauss είναι η δυνατότητα να προσβάλλει δίσκους USB, χρησιμοποιώντας την ίδια λειτουργικότητα που χρησιμοποιούσαν και οι ιοί Stuxnet και Flame. Ωστόσο, η διαδικασία που ακολουθεί για τη «μόλυνση» των USB δίσκων είναι πιο έξυπνη. Ο Gauss μπορεί – υπό προϋποθέσεις – να «απολυμάνει» το δίσκο, ενώ χρησιμοποιεί τα αφαιρούμενα μέσα για να αποθηκεύσει τις πληροφορίες που έχει συλλέξει σε ένα κρυμμένο φάκελο. Επίσης, το Trojan αυτό μπορεί να εγκαταστήσει την ειδική γραμματοσειρά “Palida Narrow”. Ο σκοπός αυτής της δράσης παραμένει ακόμη άγνωστος.

Ενώ ο Gauss έχει παρόμοιο σχεδιασμό με τον Flame, το γεωγραφικό αποτύπωμα της δράσης του είναι σημαντικά διαφορετικό. Οι περισσότεροι υπολογιστές που επλήγησαν από τον Flame εντοπίστηκαν στο Iran, ενώ η πλειοψηφία των θυμάτων του Gauss βρέθηκε στο Λίβανο. Επίσης, υπάρχουν διαφορές στον αριθμό των κρουσμάτων. Βάσει δεδομένων τηλεμετρίας από το Kaspersky Security Network (KSN), ο Gauss προσέβαλε περίπου 2,500 συστήματα, ενώ ο Flame περίπου 700.

Παρότι η ακριβής μέθοδος προσβολής δεν είναι ακόμη γνωστή, είναι ξεκάθαρο ότι ο Gauss διαδίδεται με διαφορετικό τρόπο σε σχέση με τα κακόβουλα προγράμματα Flame και Duqu. Εντούτοις, όπως και στις περιπτώσεις των προηγούμενων δύο ιών, η εξάπλωση του Gauss γίνεται ελεγχόμενα, γεγονός που αναδεικνύει τη μυστικότητα και το απόρρητο της λειτουργίας του ιού.

Ο Alexander Gostev, Chief Security Expert της Kaspersky Lab, σχολίασε: «Ο Gauss φέρει σημαντικές ομοιότητες με τον Flame, όπως ο σχεδιασμός και η βάση του κώδικα, γεγονός που επέτρεψε τον εντοπισμό του. Όπως και οι ιοί Flame και Duqu, ο Gauss είναι ένα περίπλοκο όπλο κατασκοπίας, καθώς έχει σχεδιαστεί με έμφαση στη μυστικότητα και το απόρρητο της λειτουργίας. Ωστόσο, ο σκοπός του ήταν διαφορετικός. Ο Gauss στοχεύει πολλούς χρήστες σε επιλεγμένες χώρες, ώστε να υποκλέψει μεγάλους όγκους δεδομένων – και κυρίως, τραπεζικές και χρηματοοικονομικές πληροφορίες».

Τα προϊόντα της Kaspersky Lab μπορούν να εντοπίσουν, να αποτρέψουν και να αφαιρέσουν τον Gauss, ο οποίος έχει κατηγοριοποιηθεί με την κωδική ονομασία Trojan-Spy.Win32.Gauss».


Για να συνεχίσουμε σε αυτό το blog την προσπάθεια ζητούμε το ελάχιστο από εσάς. Κάθε φορά που διαβάζετε μια είδηση κάντε απλά ένα κλικ σε μια διαφήμιση. Ευχαριστούμε.



Πηγή: Kaspersky Lab

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου