Новый троянец Gauss приравнен к кибероружию
Лента новостей
В ряду опасных программ для промышленного шпионажа — Stuxnet, Duqu и Flame — появилась еще одна, сообщает «Лаборатория Касперского». Создатели назвали свое детище в честь известного математика — Gauss
Эксперты «Лаборатории Касперского» отнесли к классу кибероружия очередную вредоносную программу, обнаруженную на Ближнем Востоке. Троянец Gauss имеет много общего с нашумевшим червем Flame, а также с обнаруженными ранее программами для промышленного шпионажа Stuxnet и Duqu. Однако Gauss, в отличие от предшественников, помимо прочего шпионского функционала, обладает признаками банковского троянца. Он нацелен на кражу финансовой информации.
Фактов кражи денег посредством обнаруженной вредоносной программы на сегодняшний день еще не зафиксировано, признают специалисты «Лаборатории Касперского». Однако точно известно, что Gauss пересылает на серверы «хозяев» детальную информацию о зараженных компьютерах: все пароли, введенные или сохраненные в браузерах, файлы cookie, а также подробности конфигурации инфицированной системы.
Новая вредоносная программа была обнаружена «Лабораторией Касперского» в июне 2012 года. Ее основной шпионский модуль был назван создателями в честь немецкого математика Иоганна Карла Фридриха Гаусса. Неизвестные разработчики наградили и другие файлы троянца именами известных математиков — Жозефа Луи Лагранжа и Курта Геделя.
«Лаборатория Касперского» датировала первые случаи заражения Gauss сентябрем 2011 года. Однако обнаружить троянца удалось лишь в июне 2012 года, благодаря наличию у него ряда общих черт с Flame. Вскоре после обнаружения троянца, в июле этого года, командные серверы Gauss были отключены. В настоящее время вредоносная программа находится в неактивном состоянии, ожидая команды от «хозяев».
«Мы детально изучили Flame и обнаружили в нем некоторые ключевые участки кода, которые мы также потом обнаружили в одном из вариантов червя Stuxnet, подтвердив связь между этими вредоносными программами. И на основе этих коротеньких кусочков кода мы создали специальную программу в наших базах антивирусных и практически сразу увидели существование неизвестных файлов, которые оказались новой разновидностью того, что мы называем платформа Flame. Можно сказать, что Gauss — это родной брат Flame, рассчитанный на другой регион», — рассказал в интервью BFM.ru главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.
Специалисты «Лаборатории Касперского» считают, что общее число зараженных Gauss компьютеров может доходить до десяти тысяч — меньше, чем у червя Stuxnet, но значительно больше, чем успели поразить Flame и Duqu.
По словам эксперта, совершенно очевидно, что за всеми перечисленными вредоносными программами стоит некое государство. «У нас нет конкретных доказательств, поэтому мы не можем озвучить наши версии. Но те ресурсы, которые потратили на разработку этих вирусов их авторы, оцениваются в миллионы, если посчитать все вместе, то возможно, в десятки миллионов долларов. В разработке этих вирусов принимали участие программисты и криптографы экстра-класса», — заявил Гостев.
Программы для промышленного шпионажа такого класса объединяет еще один показатель — нацеленность на конкретные государства. Очевидно, что такое ПО становится кибероружием, заключает эксперт.
«Stuxnet по своему функционалу можно сравнить с обычной ракетой, которая может физически уничтожить завод. Он выводил из строя центрифуги, приводя их к реальному разрушению. Stuxnet, Duqu, Flame, Gauss — это звенья единой цепи. Это кибероружие, которое использует одна страна против другой, и иногда некоторые из этих видов кибероружия по своему потенциалу, последствиям могут наносить ущерб не меньше, чем применение реального оружия», — пояснил Александр Гостев.
Отличительная черта Gauss — наличие в нем функционала банковского троянца. По утверждению представителей «Лаборатории Касперского», это уникальный случай, ранее никогда не встречавшийся во вредоносных программах, которые принято относить к классу кибероружия.
Результаты анализа Gauss показывают, что основной целью троянца являлся ряд ливанских банков, в том числе Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, он был нацелен на клиентов Citibank и пользователей электронной платежной системы PayPal, сообщает «Лаборатория Касперского».
«Впервые в подобных государственных вредоносных программах мы видим повышенный интерес к информации о банковских счетах пользователей. Сам по себе Gauss деньги переводить не может. Он просто ворует учетные записи и отсылает их авторам [разработки]. Обладая этими данными, люди, стоящие за троянцем, могут зайти на счет пользователя». — рассказал Гостев.
Тут возникает вопрос: может ли троянец перевести деньги со счета на счет? «Это зависит от того, какие системы дополнительной защиты используют банки. Возможно, используется двухфакторная аутентификация, подтверждение транзакций при помощи SMS или одноразовые пароли. Можно ли, обладая этими данными, паролями доступа к счету, украсть деньги, мы не знаем. Необходимо смотреть на каждый атакованный банк непосредственно. Но при помощи этой информации можно отслеживать все данные о состоянии банковского счета, смотреть, откуда приходят деньги и куда уходят. Это нам кажется наиболее вероятной целью авторов», — сказал представитель «Лаборатории Касперского».
«Червь» обосновался на Ближнем Востоке
По данным компании, территория распространения Gauss ограничена Ближним Востоком — нигде больше троянец не зафиксирован. «Лидирует Ливан — из 2,5 тысячи жертв 1,6 тысячи приходится на эту страну. Также пострадали Израиль и Палестина — в каждой из этих стран заражено от 400 до 500 компьютеров. Вообще, затронут регион Западной Азии и Северо-Восточной Африки — Египет, Судан сюда тоже входят», — рассказал Александр Гостев.
По его словам, некоторое удивление вызывает тот факт, что в Иране зафиксированы лишь единичные случаи заражения, в случае с Flame все было наоборот — на Иран пришлось наибольшее число заражений. «Иран также был объектом атак червей Stuxnet и Duqu. В случае с Gauss мы видим совсем другой уклон — именно Ливан».
Ни одного компьютера в России заражено не было, успокоил эксперт. Зафиксированы единичные случаи в Прибалтике, но пока, сообщил он, нельзя точно определить, был ли заражен компьютер пользователя из Прибалтики или это был пользователь с Ближнего Востока, использующий VPN или прокси-сервер, находящийся в одной из прибалтийских стран.
Несколько дней назад «Лаборатория Касперского» начала «лечение» компьютеров, на которых установлено антивирусное ПО компании, и в настоящее время для них угроза со стороны Gauss отсутствует, заверил Гостев.
«Сегодня мы предоставим всю информацию о Gauss другим антивирусным компаниям, чтобы они также смогли защитить своих пользователей, — пообещал Гостев. — Кроме того, мы подготовили специальную лечащую утилиту, которую международный союз электросвязи распространит по своим доверенным организациям в каждой из 170 стран-членов этой организации. Местные провайдеры каждой страны смогут ее использовать для защиты».