Первые бесплатные инструменты для обнаружения и лечения "кибероружия" Gauss

Данный код, судя по всему, создавался по заданию одного или нескольких правительственных ведомств для кражи финансовых данных у пользователей на Ближнем Востоке.

Gauss был обнаружен в ходе масштабной кампании, инициированной Международным союзом электросвязи (International Telecommunication Union, ITU) после выявления Flame. Ее глобальной целью является сокращение рисков, связанных с применением кибероружия, и сохранение мира в киберпространстве. С помощью экспертной поддержки, осуществляемой специалистами "Лаборатории Касперского", ITU предпринимает важные шаги в направлении укрепления глобальной кибербезопасности - при активной поддержке со стороны ключевых партнеров по инициативе ITU-IMPACT, правительств и частных организаций, а также гражданского общества.

Обнаружение Gauss экспертами стало возможным благодаря наличию в троянце ряда черт, объединяющих его со сложной вредоносной программой Flame. Сходства прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления.

Новая вредоносная программа была обнаружена "Лабораторией Касперского" в июне 2012 года. Ее основной шпионский модуль был назван создателями (которые пока остаются неизвестными) в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца также носят имена известных математиков: Жозефа Луи Лагранжа и Курта Гёделя. Проведенное исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011 года. Однако командные сервера вредоносной программы прекратили свою работу только в июле 2012 года.

Многочисленные модули Gauss предназначены для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Кроме того, атакующие получали детальную информацию о зараженном компьютере, в том числе подробности о сетевых интерфейсах, дисковых накопителях, а также данные BIOS. Троянец Gauss может красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal.

В пятницу свои бесплатные инструменты для обнаружения и удаления Gauss представили в "Лаборатории Касперского", а также Лаборатория криптографии и системной безопасности Университета Технологий и Экономики Будапешта. Оба инструмента разрабатывались независимо друг от друга, но оба базируются на обнаружении кастомизированного шрифта Palida Narrow, который Gauss размещает на зараженной машине.

Инструмент от "Лаборатории Касперского" - Kaspersky Virus Removal Tool , а разработка инженеров из Будапешта: Онлайн обнаружение Gauss

На данный момент разработчики не дают объяснений относительно того, что именно делает шрифт в системе, однако есть подозрение, что он использует некую публично неизв естную уязвимость в Microsoft Word для взлома системы.

На сегодня эксперты с уверенностью говорят, что Gauss заражает преимущественно 32-битные Windows-системы, однако шпионский модуль способен "слушать" и 64-битные Windows. Заражению подвержены все ныне поддерживаемые Windows - от XP до 7. Gauss не работает на Linux или Mac.O

Кроме того, на сегодня известно, что пока Gauss по большей части работает только на Ближнем Востоке. 1660 случаев заражения зафиксировано в Ливане, 483 в Израиле, 261 на палестинских территориях. В "Лаборатории Касперского" говорят, что всего ими было зафиксировано около 2500 случаев заражения Gauss.