09 Августа 2012 17:08 09 Авг 2012 17:08 |

Поделиться

Создатели «самого грозного кибероружия» принялись грабить банки

Новая шпионская программа Gauss, отнесенная исследователями к классу «кибероружия», имеет в своем составе модуль для похищения финансовой информации.

В «Лаборатории Касперского», открывшей Gauss, отмечают, что это первый известный случай, когда в программе, классифицированной как «кибероружие», содержится функциональность банковского трояна. В этой связи эксперты называют Gauss «уникальным».

Собственно название Gauss создатели трояна дали только его основному шпионскому модулю. Помимо имени великого математика Иоганна Гаусса в названиях файлов использованы имена Жозефа Луи Лагранжа и Курта Геделя.

Как сообщает «Лаборатория Касперского», первые случаи заражения Gauss были обнаружены в сентябре 2011 г., однако в июле 2012 г., примерно через месяц после открытия трояна, его управляющие сервера были остановлены, и Gauss перешел в неактивное состояние.

Gauss был обнаружен благодаря сходству с вредоносной программой Flame, которую называют «самым опасным кибеоружием» современности. Близость черт двух троянов заметна в их архитектуре, модульной структуре и с командными серверами. Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев полагает, что, скорее всего, над Gauss работала та же команда, которая написала как Flame, так и нашумевшие в последний год Stuxnet и Duqu, заражавшие правительственные и промышленные объекты Ирана и стран Ближнего Востока.

Математик Иоганн Карл Фридрих Гаусс, давший имя новому трояну Gauss

«Gauss очень похож на Flame по структуре и коду. Собственно именно это и позволило нам его обнаружить, – говорит Александр Гостев. – Также как Flame и Duqu, Gauss представляет собой сложную программу, предназначенную для ведения кибершпионажа с особым акцентом на скрытность действий. Однако цели недавно обнаруженного троянца совсем иные: Gauss заражает пользователей в четко определенных странах и крадет большие объемы данных. Причем особый интерес для него представляет финансовая информация».

В своем сообщении о Gauss эксперты «Касперского» пишут, что в задачи модулей нового трояна входит сбор информации, содержащейся в браузере, в том числе история посещений, пароли и файлы cookie. Помимо них организаторы атак собирали детальную информацию о зараженном компьютере, его сетевых интерфейсах, дисковых накопителях и данные BIOS.

В отличие от Flame, Stuxnet и Duqu, нацеленных на компьютеры Ирана, Gauss заражал, главным образом, ПК, расположенные на территории Ливана. По данным «Лаборатории Касперского», Gauss поразил около 2,5 тыс. ПК против 700 случаев заражения Flame.

Атаке Gauss подвергались клиенты ливанских банков: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais, а также пользователи Citibank и платежной системы PayPal.

Интересно, что Gauss включает в себя несколько «таинственных зашифрованных» блоков, которые пока не поддаются усилиям «Лаборатории Касперского» по расшифровке. Эксперты обратились за помощью по декодированию к «криптографам мирового уровня», заинтересованным в новом вызове.

Владислав Мещеряков

Поделиться

Короткая ссылка