На Близькому Сході виявлено новий комп'ютерний вірус класу кіберзброї
"Лабораторія Касперського" виявила на Близькому Сході ще одну складну шкідливу програму, яку експерти віднесли до класу кіберзброї. Як повідомили в прес-службі компанії, особливість нового "троянця" полягає в тому, що він, крім іншого шпигунського функціоналу, спрямований на крадіжку фінансової інформації користувачів заражених комп'ютерів.
Gauss таємно пересилає на сервери управління паролі, введені або збережені в браузері, файли cookie, а також подробиці конфігурації інфікованої системи. "Наявність в Gauss функціоналу банківського "троянця" є унікальним випадком, що раніше ніколи не зустрічалося серед шкідливих програм, які прийнято відносити до класу кіберзброї", - йдеться в повідомленні лабораторії.
Gauss був виявлений в ході кампанії, ініційованої Міжнародним союзом електрозв'язку (ITU) після виявлення складної шкідливої програми Flame. Виявлення Gauss стало можливим завдяки наявності в "троянця" низки рис, які об'єднують його з Flame. Подібності простежуються в архітектурі, модульній структурі, а також способах зв'язку з серверами управління.
Основний шпигунський модуль нової шкідливої програми був названий творцями (які поки залишаються невідомими) на честь німецького математика Йоганна Карла Фрідріха Гауса. Інші файли "троянця" також носять імена відомих математиків - Жозефа Луї Лагранжа і Курта Геделя. Дослідження показало, що перші випадки зараження Gauss відносяться до вересня 2011 р. Однак командні сервери шкідливої програми припинили свою роботу тільки в липні 2012 р.
Численні модулі Gauss призначені для збору інформації, що міститься в браузері, включаючи історію відвідуваних сайтів і паролі, які використовуються в онлайн-сервісах. Крім того, хакери отримували детальну інформацію про заражений комп'ютер, у тому числі подробиці про мережеві інтерфейси, дискові накопичувачі, а також дані BIOS.
"Троянець" Gauss може красти конфіденційну інформацію у клієнтів ряду ліванських банків, таких як Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank і Credit Libanais. Крім того, його метою є клієнти Citibank і користувачі електронної платіжної системи PayPal.
Ще однією важливою особливістю Gauss є те, що він заражає USB-накопичувачі, використовуючи ту ж саму уразливість, що і Stuxnet, і Flame. Однак процес інфікування флешок відрізняється від попередників наявністю певної інтелектуальної складової. Так, використовуючи зйомний накопичувач для зберігання зібраної інформації в одному з прихованих файлів, при певних умовах Gauss може видалити себе і всі вкрадені дані. Ще однією характерною рисою "троянця" є установка спеціального шрифту Palida Narrow. Однак сенс цього поки не ясний.
Незважаючи на те, що Gauss і Flame мають багато спільного за своєю структурою, їх географія зараження серйозно різниться. Максимальна кількість комп'ютерів, уражених Flame, припадає на Іран, тоді як більшість жертв Gauss знаходиться в Лівані. Число заражених також значно відрізняється.
За даними "хмарної" системи моніторингу Kaspersky Security Network, Gauss заразив близько 2,5 тис. комп'ютерів, у той час як жертв Flame було всього близько 700. Три основні країни, які зазнали зараження Gauss, - Ліван, Ізраїль і Палестина.
Хоча точний спосіб зараження ще не встановлений, експерти впевнені, що поширення Gauss відбувається за іншим сценарієм, ніж Flame або Duqu. Проте варто зазначити, що, так само як і у більш ранніх кібершпигунів, процес розповсюдження "троянця" є строго контрольованим, що говорить про намір якомога довше залишатися непоміченим, вказали в "Лабораторії Касперського".
