Kaspersky Lab

Kaspersky Lab upptäcker nya cyberhotet Gauss

Pressmeddelande   •   Aug 09, 2012 14:57 CEST

Kaspersky Lab och FN-organet ITU har upptäckt ”Gauss”, ett nytt cyberhot riktat mot användare i Mellanöstern. Gauss är en komplex uppsättning verktyg avsett för cyberspionage och är utvecklat med stöd från en stat. Syftet är att komma över känslig data med särskilt fokus på webbläsarlösenord, kontouppgifter till internetbanker, cookies och specifika konfigurationer hos infekterade maskiner.

Gauss innehåller ett slags trojan avsedd för internetbanker, vilket är en unik egenskap som inte har påträffats hos några tidigare cybervapen.

Upptäckten av Gauss skedde under ett initiativ från ITU (International Telecommunication Union), med anledning av cyberhotet Flame som upptäcktes tidigare i år. Initiativet har som mål att minska de risker som cybervapen utgör globalt.

Kaspersky Labs experter upptäckte Gauss genom att identifiera det skadliga programmets likheter med Flame. Likheterna omfattar plattformarnas arkitektur, strukturer hos moduler, kodbaser och kommunikationssättet med så kallade command & control (C&C) servrar.

Snabbfakta:

  • Analys tyder på att Gauss blev aktivt i september 2011.
  • Programmet upptäcktes i juni 2012 som ett resultat från de insikter man skaffat från analys och forskning kring skadliga programmet Flame.
  • Upptäckten var möjlig genom starka liknelser och samband mellan Flame och Gauss.
  • Gauss C&C-infrastruktur stängdes ner i juli 2012, strax efter upptäcken. Programmet är därför i dagsläget i inaktivt läge i väntan på att dess C&C-servrar ska bli aktiva.
  • Sedan slutet av maj 2012 har fler än 2500 infektioner registrerats av Kaspersky Labs molnbaserade säkerhetssystem. Det totala antalet offer för Gauss uppskattas dock till tiotusentals. Antalet är lägre jämfört med Stuxnet men betydligt högre än för Flame och Duqu.
  • Gauss stjäl detaljerad information från infekterade datorer, inklusive webbläsarhistorik, cookies, lösenord och systemkonfigurationer. Programmet kan även stjäla accessuppgifter för olika webbaserade banksystem och betalningsmetoder.
  • Analys av Gauss visar att programmet har utvecklats för att stjäla data från flertalet libanesiska banker. Det angriper även användare av Citibank och PayPal.
  • Programmets okända skapare har döpt huvudmodulen efter den tyske matematikern Johann Carl Friedrich Gauss. Även andra komponenter bär namn från kända matematiker, som Joseph-Louis Lagrange och Kurt Gödel.

Hur funkar Gauss?
Gauss innehåller flera moduler som används för att samla in information från webbläsare, till exempel historik över besökta webbsidor och lösenord. Detaljerad data från infekterade datorer skickas till upphovsmännen, inklusive specifikationer över nätverksgränssnitt, datorns drivenheter och BIOS-information.

En annan viktig egenskap hos Gauss är möjligheten att infektera USB-minnen, genom att använda samma LNK-sårbarhet som tidigare har använts av Stuxnet och Flame. Samtidigt är processen för att infektera USB-minnen intelligentare. Gauss kan nämligen ”disinfektera” USB-enheten under vissa förhållanden och använder den flyttbara enheten för att lagra insamlad information i en gömd fil. Trojanen kan även installera ett speciellt typsnitt med namnet Palida Narrow. Syftet med detta är dock fortfarande okänt.

Även om strukturen hos Gauss bär likheter med Flame är de geografiska infektionsområdena märkbart olika. Flame hade flest antal drabbade i Iran medan majoriteten av offren för Gauss finns i Libanon. Antalet infektioner skiljer sig också: siffror från Kaspersky Security Network (KSN) visar att Gauss har infekterat runt 2500 maskiner medan Flame infekterade runt 700 maskiner.

Exakt hur metoden för att infektera datorer är ännu inte fastställt men det står klart att Gauss sprider sig på ett annat sätt än Flame och Duqu. Spridningsmekanismerna hos Gauss, precis som hos Flame Duqu, genomförs dock på ett kontrollerat sätt vilket tyder på att utvecklarna är måna om att dölja programmets existens.

I dagsläget identifierar, blockerar och oskadliggör Kaspersky Labs säkerhetsprogram Gauss. Programmet klassificeras som Trojan-Spy.Win32.Gauss.

Vidare analys av Gauss: http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution

Frågor & svar om Gauss: http://www.securelist.com/en/blog?weblogid=208193767


Mediekontakt:
Bite Communications, 08-402 01 00, kaspersky@bitepr.se

Om Kaspersky Lab
Kaspersky Lab är världens största privatägda leverantör av klientsäkerhetslösningar. Företaget rankas bland världens fyra främsta leverantörer av säkerhetslösningar för klientanvändare*. Kaspersky Lab har under 15 år varit en innovatör inom IT-säkerhet och förser konsumenter, samt små och stora företag, med effektiva digitala säkerhetslösningar. Företaget är för nuvarande verksamt i nästan 200 länder och ger skydd åt över 300 miljoner användare över hela världen. Läs mer på www.kaspersky.se.

* Företaget rankades på fjärde plats i IDC:s Worldwide Endpoint Security Revenue by Vendor, 2010. Rankingen publicerades i IDC:s rapport Worldwide IT Security Products 2011-2015 Forecast and 2010 Vendor Shares – December 2011. Rapporten rangordnar programleverantörer efter försäljningsintäkter från klientsäkerhetslösningar under 2010.