Kaspersky Lab je otkrio „Gaus“, novu kompleksnu sajber pretnju, kreiranu da prati onlajn bankovne račune
Kompanija Kaspersky Lab obajavila je da je otkriven virus „Gaus“, nova sajber pretnje koja pogađa korisnike Bliskog istoka. Gaus je kompleksni alat za sajber špijunažu i kreiran je da krade poverljive podatke, sa posebnim fokusom na veb lozinke, podatke sa onlajn bankovnih računa, kukis (cookies) i posebne konfiguracije sa zaraženih mašina.
Funkcionalnost virusa Trojan za onlajn bankarstvo, koja je pronađena u virusu Gaus, jedinstvena je karakteristika koja nije pronađena ni u jednom do sada poznatom sajber oružju.
Gaus je otkriven nakon dugotrajnih napora koje je inicirala Međunarodna unija za telekomunikacije (ITU), nakon što je otkriven virus Flame. Napor je usmeren na ublažavanje rizika koji izazivaju sajber pretnje, što je ključna komponenta u ostvarivanju glavnog cilja, a to je sajber mir.
Međunarodna unija za telekomunikacije (ITU), u saradnji sa kompanijom Kaspersky Lab, preduzima značajne korake ka jačanju globalne sajber bezbednosti, tako što aktivno sarađuje sa svojim ključnim partnerima u okviru inicijative ITU-IMPACT, ali i sa svim interesnim stranama kao što su vlada, privatni sektor, međunarodne organizacije i civilna društva.
Stručnjaci kompanije Kaspersky Lab otkrili su virus Gaus tako što su otkrili sličnosti sa programom Flame. To obuhvata sličnu arhitektonsku platformu, strukturu modula, baze kodova, sredstva za komunikaciju sa serverom komande i kontrole (C&C)
Činjenice:
Analize pokazuju da je virus Gaus aktiviran u septembru 2011.
Prvi put je otkriven u junu 2012, kao rezultat saznanja stečenih nakon detaljnih analiza i istraživanja virusa Flame
Ovo otkriće je bilo moguće zahvaljujući velikoj sličnosti između virusa Gaus i Flame
Server komande i kontrole (C&C) virusa Gaus ugašen je u julu 2012, ubrzo nakon njegovog otkrića. Virus je trenutno u uspavanom stanju i čeka svoj server komande i kontrole (C&C) da postane aktivan.
Od kraja maja 2012, kompanija Kaspersky Lab je zabeležila vise od 2.500 infekcija pomoću klaud (cloud) sigurnosnog sistema, a procenjeno je da je ukupan broj žrtava zaraženih virusom Gaus više desetina hiljada. Ovo je manji broj u odnosu na slučaj Stuxnet, ali daleko veći u odnosu na broj napada virusa Flame i Duqu.
Virus Gaus krade detaljne informacije o zaraženim kompjuterima, obuhvatajući istoriju pregledača, kukis (cookies), lozinke i konfiguraciju sistema. Takođe, sposoban je za krađu pristupa akreditivu za razne onlajn bankovne sisteme i metode plaćanja.
Analize virusa Gaus pokazuju da je kreiran kako bi krao podatke iz nekoliko libanskih banaka, uključujuči i banke: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank i Credit Libanais
Stučnjaci kompanije Kaspersky Lab otkrili su novi virus u junu 2012. Njegov glavni modul su nepoznati autori imenovali prema poznatom nemačkom matematičaru koji se zvao Johann Carl
Friedrich Gauss. Ostali delovi takođe nose nazive poznatih matematičara, uključujući i Joseph-Louis Lagrange i Kurt Gödel. Istraga je pokazala da prvi incidenti sa virusom Gaus datiraju još iz septembra 2011. U julu 2012. server komande i kontrole (C&C) virusa Gaus prestao je da funkcioniše.
Brojni moduli virusa Gaus prikupljaju podatake iz različitih pregledača koji obuhvataju istoriju posećenih veb sajtova i lozinke. Detaljni podaci o zaraženom računaru šalju se napadaču, zajedno sa specifičnostima mrežnih interfejsa, drajverima i informacijama o BIOS-u računara. Modul virusa Gaus je takođe sposoban za krađu podataka klijenata iz nekoliko libanskih banki, uključujući i banke Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank i Credit Libanais. Takođe je opasan i za korisnike banaka Citibank i PayPal.
Druga glavna osobina virusa Gaus je sposobnost da zarazi USB fleš diskove, koristeći istu LNK ranjivost kao i virusi Stuxnet i Flame. Istovremeno, ovaj proces je kod virusa Gaus daleko inteligentniji. Gaus je u stanju da „dezinfikuje“ disk pod određenim okolnostima, i koristi prenosivi uređaj za skladištenje prikupljenih podataka u skrivenu datoteku. Druga aktivnost virusa Trojan je ugradnja specijalnog fonta koji se zove Palida Narrow, ali cilj ove aktivnosti je i dalje nepoznat.
Iako je Gaus sličan virusu Flame prema dizajnu, geografska rasprostranjenost infekcije je primetno drugačija. Najveći broj računara zaraženih virusom Flame zabeležen je u Iranu, dok se većina žrtava zaražena virusom Gaus nalazi u Libanu. Broj infekcija se takođe razlikuje. Na osnovu rezultata telemetrije (tehnologija koja omogućava daljinsko merenje i prenos informacije sa udaljene lokacije do operatera) koje je obavila kompanija Kaspersky Security Network (KSN), virus Gaus je zarazio oko 2.500 mašina. U poređenju sa tim, virus Flame je zarazio znatno manje, oko 700 mašina.
Iako još nije otkriven tačan metod koji koristi da bi inficirao računare, jasno je da se virus Gaus širi drugačije nego virusi Flame i Duqu; međutim, slično kao i prethodna dva sajber oružja za špijunažu, mehanizam širenja virusa Gaus se sprovodi kontrolisano, što dodatno naglašava krađu i tajnost rada.
Aleksandar Gostev, glavni stručnjak za bezbednost u kompaniji Kaspersky Lab, prokomentarisao je: „Virus Gaus ima neverovatno mnogo sličnosti sa virusom Flame, kao što je njihov dizajn i osnovni kod, što nam je i omogućilo da otkrijemo ovaj zlonamerni program. Slično kao i virusi Flame i Duqu, Gaus je složeni alat za sajber špijunažu, koji svojim dizajnom ističe krađu i tajnost, međutim njegova svrha je bila drugačija nego virusa Flame i Duqu. Virus Gaus pogađa dosta korisnika u odabranim zemljama, i krade velike količine podataka, sa posebnim fokusom na bankarstvo i finansijske informacije.“
U ovom trenutku, virus Gaus Trojan uspešno je detektovan, blokiran i uklonjen pomoću proizvoda kompanije Kaspersky Lab, i klasifikuje se kao Trojan-Spy.Win32.Gauss.
Leave A Comment