Gauss został wykryty podczas trwającej inicjatywy zapoczątkowanej przez International Telecommunication Union (ITU) po wykryciu Flame’a. Jej celem jest zmniejszenie ryzyka ze strony cyberbroni, co stanowi kluczowy element działań zmierzających do osiągnięcia nadrzędnego celu, jakim jest globalny cyberpokój.
ITU, wspierany wiedzą i doświadczeniem Kaspersky Lab, podejmuje istotne działania w celu zwiększenia globalnego cyberbezpieczeństwa poprzez aktywną współpracę z wszystkimi istotnymi graczami, takimi jak rządy, sektor prywatny, międzynarodowe organizacje i społeczeństwo, jak również swoimi kluczowymi partnerami w ramach inicjatywy ITU-IMPACT.
Eksperci z Kaspersky Lab wykryli Gaussa poprzez zidentyfikowanie cech wspólnych tego szkodliwego programu ze zidentyfikowaną wcześniej cyberbronią Flame. Obejmują one podobieństwa w architekturze, strukturze modułów, kodzie oraz sposobach komunikacji z serwerami wykorzystywanymi przez cyberprzestępców do kontrolowania tych zagrożeń.
Najważniejsze fakty:
● Analiza wskazuje, że Gauss funkcjonuje od września 2011 r.
● Po raz pierwszy został wykryty w czerwcu 2012 na podstawie informacji uzyskanych w wyniku dogłębnej analizy i badań przeprowadzonych na szkodniku Flame.
● Odkrycie to było możliwe dzięki wyraźnym podobieństwom i związkom między Flamem i Gaussem.
● Infrastruktura serwerów kontrolujących Gaussa została zamknięta w lipcu 2012 r., niedługo po wykryciu go. Obecnie szkodnik ten znajduje się w stanie uśpienia, czekając, aż serwery znów staną się aktywne.
● Od końca maja 2012 r. oparty na chmurze system bezpieczeństwa firmy Kaspersky Lab zarejestrował ponad 2 500 infekcji, a łączna liczba ofiar Gaussa szacowana jest na dziesiątki tysięcy. Liczba ta jest niższa w porównaniu ze Stuxnetem, ale stosunkowo wyższa niż w przypadku Flame’a oraz Duqu.
● Gauss kradnie szczegółowe informacje o zainfekowanych komputerach PC, łącznie z historią przeglądarki, ciasteczkami, hasłami oraz konfiguracjami systemu. Potrafi również kraść dane uwierzytelniające dostęp do różnych systemów bankowości online oraz metod płatności.
● Z analizy Gaussa wynika, że szkodnik ten został stworzony w celu kradzieży danych z kilku libańskich banków, w tym Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank oraz Credit Libanais. Ponadto, atakuje również użytkowników Citibanku oraz PayPala.
Gauss został wykryty przez ekspertów Kaspersky Lab w czerwcu 2012 r. Jego główny moduł został nazwany przez nieznanych twórców od nazwiska niemieckiego matematyka Johanna Carla Friedricha Gaussa. Inne komponenty również noszą nazwy sławnych matematyków, np. Joseph-Louis Lagrange czy Kurt Gödel. Badanie wykazało, że pierwsze incydenty z udziałem Gaussa miały miejsce już we wrześniu 2011 r. W lipcu 2012 r. serwery kontroli Gaussa przestały działać.
Liczne moduły Gaussa służą do gromadzenia informacji z przeglądarek, łącznie z historią odwiedzanych stron i hasłami. Do osób atakujących przesyłane są również szczegółowe dane dotyczące zainfekowanej maszyny, w tym dane dotyczące interfejsów sieciowych, sterowników komputerowych oraz informacje o BIOS-ie. Moduł Gaussa potrafi również kraść dane klientów kilku libańskich banków, w tym Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank oraz Credit Libanais. Atakuje również użytkowników Citibanku i PayPala.
Inną główną funkcją Gaussa jest zdolność infekowania urządzeń USB za pośrednictwem tej samej luki, którą wykorzystywał wcześniej Stuxnet i Flame. Proces infekowania urządzeń USB jest jednak w tym przypadku bardziej “inteligentny”. Gauss potrafi “wyleczyć” takie urządzenie w niektórych okolicznościach i wykorzystuje nośnik wymienny do przechowywania zgromadzonych informacji w ukrytym pliku. Innym działaniem trojana jest instalowanie w systemie specjalnej czcionki o nazwie “Palida Narrow”, jednak cel tej czynności nadal nie jest znany.
O ile Gauss przypomina Flame’a pod względem projektu, rozkład geograficzny infekcji jest już wyraźnie inny. Największa liczba komputerów zainfekowanych przez Flame’a została odnotowana w Iranie, natomiast większość ofiar Gaussa było zlokalizowanych w Libanie. Liczba infekcji również jest inna. Na podstawie telemetrii Kaspersky Security Network (KSN), eksperci z Kaspersky Lab ustalili, że Gauss zainfekował około 2 500 maszyn. Dla porównania, Flame zainfekował znacznie mniej, bo prawie 700 maszyn.
Chociaż dokładna metoda wykorzystywana do infekowania komputerów nie jest jeszcze znana, nie ma wątpliwości, że Gauss rozprzestrzenia się w inny sposób niż Flame czy Duqu. Jednak, podobnie jak w przypadku dwóch poprzednich broni cyberszpiegowskich, rozprzestrzenianie Gaussa odbywa się w sposób kontrolowany, sugerujący dyskrecję całej operacji.
Aleksander Gostiew, główny ekspert ds. bezpieczeństwa, Kaspersky Lab, powiedział:
“Gauss wykazuje uderzające podobieństwa do Flame’a, w projekcie oraz podstawie kodu, co pozwoliło nam wykryć ten szkodliwy program. Tak samo jak Flame i Duqu, Gauss to złożony zestaw narzędzi cyberszpiegowskich, którego struktura sugeruje, że szkodnik ten miał działać w ukryciu, jednak jego cel różnił się od przeznaczenia Flame’a czy Duqu. Gauss atakuje użytkowników w wybranych krajach w celu kradzieży ogromnych ilości danych, w szczególności informacji bankowych oraz finansowych”.
Trojan Gauss, sklasyfikowany przez Kaspersky Lab jako Trojan-Spy.Win32.Gauss, jest skutecznie wykrywany, blokowany i usuwany przez produkty firmy.