«Лаборатория Касперского» обнаружила на Ближнем Востоке вредоносную
программу Gauss (Trojan-Spy.Win32.Gauss), которую специалисты тоже
отнесли к классу кибероружия. Троян создан для шпионажа и сбора
финансовой информации с заражённых компьютеров. Впервые среди троянов,
которые принято относить к государственным разработкам, встречается
программа специфической финансовой направленности, хотя для обычных
зловредов это не редкость.
Gauss обнаружен в ходе масштабной кампании, инициированной
Международным союзом электросвязи (ITU) после обнаружения Flame.
«Лаборатория Касперского» активно участвует в этой кампании, разоблачая
всё новые проекты иностранных спецслужб. Именно таким образом в июне
2012 года был выявлен Gauss, названный своими создателями в честь
немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца
также носят имена известных математиков, в том числе Жозефа Луи
Лагранжа и Курта Гёделя.
В структуре Gauss явно прослеживается родственная связь с Flame: это
архитектура, модульная структура, а также способы связи с серверами
управления. Gauss заражает USB-накопители, используя ту же самую
уязвимость, что и Stuxnet, и Flame, хотя и обладает продвинутой
возможностью самоудаляться с флэшки. «Gauss очень похож на Flame по
структуре и коду. Собственно именно это и позволило нам его обнаружить, —
говорит Александр Гостев, главный антивирусный эксперт «Лаборатории
Касперского». — Также как Flame и Duqu, Gauss представляет собой сложную
программу, предназначенную для ведения кибершпионажа с особым акцентом
на скрытность действий. Однако, цели недавно обнаруженного троянца
совсем иные: Gauss заражает пользователей в чётко определенных странах и
крадёт большие объёмы данных».
Многочисленные модули предназначены для сбора информации в браузере,
подробности о сетевых интерфейсах, дисковых накопителях, данные BIOS.
Троянец крадёт конфиденциальную информацию у клиентов ряда ливанских
банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank
и Credit Libanais. Кроме того, его целью являются клиенты Citibank и
пользователи электронной платежной системы PayPal.
Три основные страны, подвергшиеся заражению Gauss, показаны на карте.
Расследование показало, что первые случаи заражения Gauss относятся к
сентябрю 2011 года, а командные серверы прекратили свою работу в июле
2012 года, после обнаружения трояна антивирусными компаниями.
|