Обнаружен банковский троян государственного масштаба

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 10 авг 2012.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    «Лаборатория Касперского» обнаружила на Ближнем Востоке еще одну сложную вредоносную программу, которую эксперты отнесли к классу кибероружия. Особенность нового троянца, названного по имени немецкого математика Иоганна Карла Фридриха Гаусса, состоит в том, что он, помимо прочего шпионского функционала, направлен на кражу финансовой информации пользователей зараженных компьютеров. Gauss скрытно пересылает на сервера управления пароли, введенные или сохраненные в браузере, файлы cookie, а также подробности конфигурации инфицированной системы.

    [​IMG]

    Наличие в Gauss функционала банковского троянца является уникальным случаем, ранее никогда не встречавшимся среди вредоносных программ, которые принято относить к классу кибероружия.

    Gauss был обнаружен в ходе масштабной кампании, инициированной Международным союзом электросвязи (International Telecommunication Union, ITU) после выявления Flame.

    Ее глобальной целью является сокращение рисков, связанных с применением кибероружия, и сохранение мира в киберпространстве. С помощью экспертной поддержки, осуществляемой специалистами «Лаборатории Касперского», ITU предпринимает важные шаги в направлении укрепления глобальной кибербезопасности — при активной поддержке со стороны ключевых партнеров по инициативе ITU-IMPACT, правительств и частных организаций, а также гражданского общества.

    Обнаружение Gauss экспертами «Лаборатории Касперского» стало возможным благодаря наличию в троянце ряда черт, объединяющих его со сложной вредоносной программой Flame. Сходства прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления.

    Новая вредоносная программа была обнаружена «Лабораторией Касперского» в июне 2012 года. Ее основной шпионский модуль был назван создателями (которые пока остаются неизвестными) в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца также носят имена известных математиков: Жозефа Луи Лагранжа и Курта Геделя. Проведенное исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011 года. Однако командные сервера вредоносной программы прекратили свою работу только в июле 2012 года.

    Многочисленные модули Gauss предназначены для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Кроме того, атакующие получали детальную информацию о зараженном компьютере, в том числе подробности о сетевых интерфейсах, дисковых накопителях, а также данные BIOS. Троянец Gauss может красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal.

    Еще одной важной особенностью Gauss является то, что он заражает USB-накопители, используя ту же самую уязвимость, что и Stuxnet, и Flame. Однако процесс инфицирования флэшек отличается от предшественников наличием определенной интеллектуальной составляющей.

    Так, используя съемный накопитель для хранения собранной информации в одном из скрытых файлов, при определенных условиях Gauss может удалить себя и все украденные данные. Еще одной характерной чертой троянца является установка специального шрифта Palida Narrow. Однако ее смысл пока не ясен.

    Несмотря на то, что Gauss и Flame имеют много общего по своей структуре, их география заражения серьезно разнится. Максимальное количество компьютеров, пораженных Flame, приходится на Иран, тогда как большинство жертв Gauss находится в Ливане. Число зараженных также значительно отличается. По данным облачной системы мониторинга Kaspersky Security Network, Gauss заразил порядка 2,5 тысяч компьютеров, в то время как жертв Flame было всего около 700.

    Хотя точный способ заражения еще не установлен, эксперты уверены, что распространение Gauss происходит по иному сценарию, нежели Flame или Duqu. Однако стоит отметить, что также как и у более ранних кибершпионов процесс распространения троянца является строго контролируемым, что говорит о намерении как можно дольше оставаться незамеченным.

    «Gauss очень похож на Flame по структуре и коду. Собственно именно это и позволило нам его обнаружить, — говорит Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». — Также как Flame и Duqu, Gauss представляет собой сложную программу, предназначенную для ведения кибершпионажа с особым акцентом на скрытность действий. Однако цели недавно обнаруженного троянца совсем иные: Gauss заражает пользователей в четко определенных странах и крадет большие объемы данных. Причем особый интерес для него представляет финансовая информация».

    Источник
     
    3 пользователям это понравилось.
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Появились первые бесплатные инструменты для обнаружения и лечения Gauss

    Сразу две организации накануне представили свое программное обеспечение, позволяющее пользователям бесплатно проверить свои компьютеры на наличие нового "кибероружия" Gauss, об обнаружении которого заявила на неделе "Лаборатория Касперского". Данный код, судя по всему, создавался по заданию одного или нескольких правительственных ведомств для кражи финансовых данных у пользователей на Ближнем Востоке.

    Gauss был обнаружен в ходе масштабной кампании, инициированной Международным союзом электросвязи (International Telecommunication Union, ITU) после выявления Flame. Ее глобальной целью является сокращение рисков, связанных с применением кибероружия, и сохранение мира в киберпространстве. С помощью экспертной поддержки, осуществляемой специалистами «Лаборатории Касперского», ITU предпринимает важные шаги в направлении укрепления глобальной кибербезопасности – при активной поддержке со стороны ключевых партнеров по инициативе ITU-IMPACT, правительств и частных организаций, а также гражданского общества.

    Обнаружение Gauss экспертами стало возможным благодаря наличию в троянце ряда черт, объединяющих его со сложной вредоносной программой Flame. Сходства прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления.

    Новая вредоносная программа была обнаружена «Лабораторией Касперского» в июне 2012 года. Ее основной шпионский модуль был назван создателями (которые пока остаются неизвестными) в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца также носят имена известных математиков: Жозефа Луи Лагранжа и Курта Гёделя. Проведенное исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011 года. Однако командные сервера вредоносной программы прекратили свою работу только в июле 2012 года.

    Многочисленные модули Gauss предназначены для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Кроме того, атакующие получали детальную информацию о зараженном компьютере, в том числе подробности о сетевых интерфейсах, дисковых накопителях, а также данные BIOS. Троянец Gauss может красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal, передает cybersecurity.ru.

    В пятницу свои бесплатные инструменты для обнаружения и удаления Gauss представили в "Лаборатории Касперского", а также Лаборатория криптографии и системной безопасности Университета Технологий и Экономики Будапешта. Оба инструмента разрабатывались независимо друг от друга, но оба базируются на обнаружении кастомизированного шрифта Palida Narrow, который Gauss размещает на зараженной машине.

    Инструмент от "Лаборатории Касперского" доступен по адресу - https://www.securelist.com/en/blog/724/Online_Detection_of_Gauss , разработка инженеров из Будапешта доступна по адресу http://gauss.crysys.hu/results.php.

    На данный момент разработчики не дают объяснений относительно того, что именно делает шрифт в системе, однако есть подозрение, что он использует некую публично неизвестную уязвимость в Microsoft Word для взлома системы.

    На сегодня эксперты с уверенностью говорят, что Gauss заражает преимущественно 32-битные Windows-системы, однако шпионский модуль способен "слушать" и 64-битные Windows. Заражению подвержены все ныне поддерживаемые Windows - от XP до 7. Gauss не работает на Linux или Mac.O

    Кроме того, на сегодня известно, что пока Gauss по большей части работает только на Ближнем Востоке. 1660 случаев заражения зафиксировано в Ливане, 483 в Израиле, 261 на палестинских территориях. В "Лаборатории Касперского" говорят, что всего ими было зафиксировано около 2500 случаев заражения

    Источник
     
    6 пользователям это понравилось.
  3. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Кто-то обратил внимание на странную (?) последовательность первых букв вредоносов:
    Stux - Duqu - Flame - Gauss
    Второй ряд клавиатуры...
     
  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    2 пользователям это понравилось.

Поделиться этой страницей