Лаборатория Касперского обнаружила на Ближнем Востоке еще одну сложную вредоносную программу, которую эксперты отнесли к классу кибероружия. Как сообщили в пресс-службе компании, особенность нового троянца состоит в том, что он, помимо прочего шпионского функционала, направлен на кражу финансовой информации пользователей зараженных компьютеров. Gauss скрытно пересылает на сервера управления пароли, введенные или сохраненные в браузере, файлы cookie, а также подробности конфигурации инфицированной системы. Наличие в Gauss функционала банковского троянца является уникальным случаем, ранее никогда не встречавшимся среди вредоносных программ, которые принято относить к классу кибероружия, - говорится в сообщении лаборатории. Gauss был обнаружен в ходе кампании, инициированной Международным союзом электросвязи (ITU) после выявления сложной вредоносной программой Flame. Обнаружение Gauss стало возможным благодаря наличию в троянце ряда черт, объединяющих его с Flame. Сходства прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления. Основной шпионский модуль новой вредоносной программы был назван создателями (которые пока остаются неизвестными) в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца также носят имена известных математиков: Жозефа Луи Лагранжа и Курта Геделя. Исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011г. Однако командные сервера вредоносной программы прекратили свою работу только в июле 2012г. Многочисленные модули Gauss предназначены для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Кроме того, атакующие получали детальную информацию о зараженном компьютере, в том числе подробности о сетевых интерфейсах, дисковых накопителях, а также данные BIOS. Троянец Gauss может красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal. Еще одной важной особенностью Gauss является то, что он заражает USB-накопители, используя ту же самую уязвимость, что и Stuxnet, и Flame. Однако процесс инфицирования флэшек отличается от предшественников наличием определенной интеллектуальной составляющей. Так, используя съемный накопитель для хранения собранной информации в одном из скрытых файлов, при определенных условиях Gauss может удалить себя и все украденные данные. Еще одной характерной чертой троянца является установка специального шрифта Palida Narrow. Однако ее смысл пока не ясен. Несмотря на то, что Gauss и Flame имеют много общего по своей структуре, их география заражения серьезно разнится. Максимальное количество компьютеров, пораженных Flame, приходится на Иран, тогда как большинство жертв Gauss находится в Ливане. Число зараженных также значительно отличается. По данным облачной системы мониторинга Kaspersky Security Network, Gauss заразил порядка 2,5 тыс. компьютеров, в то время как жертв Flame было всего около 700. Три основные страны, подвергшиеся заражению Gauss, - Ливан, Израиль и Палестина. Хотя точный способ заражения еще не установлен, эксперты уверены, что распространение Gauss происходит по иному сценарию, нежели Flame или Duqu. Однако стоит отметить, что, так же как и у более ранних кибершпионов, процесс распространения троянца является строго контролируемым, что говорит о намерении как можно дольше оставаться незамеченным, указали в Лаборатории Касперского. Источник: Вот, что пишет другой источник: Новое оружие ближневосточной кибервойны: троянца под названием Gauss обнаружили эксперты из Лаборатории Касперского. Вирус устанавливается на машины под Windows и целенаправленно занимается кражей финансовых данных: номеров банковских карт, паролей к системам интернет-банкинга и данных по транзакциям. Что интересно, собственно, деньги вирус не крадет, только информацию о счетах. На данный момент вредоносная программа действует уже почти год, и заражено ею, только по данным Лаборатории Касперского, около 2,5 тысячи компьютеров. Большинство — в Ливане. Очевидно, целью инициаторов вируса были сотрудники крупнейших банков страны. В нем существует специальный модуль, который занимается целенаправленной кражей аккаунтов доступа к системам банкинга ливанских банков. Ливанские банки носят репутацию таких ближневосточных, по сути дела, швейцарских банков. Не разглашают никому информацию о своих клиентах. И действительно, очень многие сомнительные организации, видимо, используют эти банки для хранения своих денег, — рассказал Александр Гостев, главный антивирусный эксперт Лаборатории Касперского. Изучив природу вируса, в Лаборатории Касперского пришли к интересным выводам. Gauss — родственник троянца Flame, сложной программы, созданной для похищения личной информации пользователя, от почтовой переписки до паролей к банковским картам. Flame был обезврежен еще в начале лета, и полученная о нем информация помогла выйти и на Gauss. У двух троянцев, как отмечают эксперты, очень похожий дизайн, одинаковые структура модулей, кодовая база и средства связи с серверами управления. Все это позволяет сделать выводы о том, кто может стоять за созданием вирусов. Несомненно, за этими вещами стоит какое-либо правительство, какое-то государство мира, которое создает подобные угрозы. Дело в том, что у нас нет четких доказательств причастности какого-либо государства. У нас есть, опять же, догадки, предположения, но поскольку у нас нет вот этих четких фактов, мы, к сожалению, не можем обвинять какое-либо конкретное государство в создании подобных угроз, — сообщил Александр Гостев. О том, что вирус сделан при поддержке крупного государства, говорит его высокая стоимость и сложность: такая, что даже эксперты из Лаборатории Касперского, сумев заблокировать вирус, изучить его до конца так и не смогли. Например, способ распространения вируса до сих пор загадка. Мы видим порядка двух с половиной тысяч зараженных пользователей, это только по нашим данным, в реальности, я думаю, эта цифра гораздо, гораздо больше, возможно, как минимум 10 тысяч пострадавших от него. Распространялся он примерно с сентября прошлого года, и такое большое число заражений должно свидетельствовать о наличии некоего функционала червя, то есть, способности самораспространяться. Но во всех модулях Gauss, которые мы обнаружили и исследовали, подобного функционала нет, — объяснил главный антивирусный эксперт Лаборатории Касперского. Сделав свое грязное дело и отправив украденные данные своим создателям, Gauss самоуничтожался. Где и когда всплывут полученные сведения, остается тайной. Это уже четвертый вирус, авторство которого приписывают госструктурам. До этого на том же Ближнем Востоке были обнаружены и обезврежены троянцы Stuxnet, созданный с целью саботажа иранской ядерной программы, а также Flame и Duqu, направленные на хищение личных данных влиятельных лиц ближневосточных стран-изгоев. До недавнего времени сетевое противостояние велось в основном в одни ворота, но в конце июля в Лаборатории Касперского заявили об обнаружении первого ответного удара — вируса Madi. Этот весьма примитивный троянец запускал щупальца в личные данные пользователя на Gmail, Facebook, Skype, кроме того, вирус мог включать и выключать микрофон, записывая разговоры жертвы, фиксировать нажатия клавиш и многое другое. За несколько месяцев Madi успел заразить более 800 компьютеров, причем большинство из них — в Израиле. Ссылка на видео:
