Компания "Лаборатория Касперского" сообщила об обнаружении еще одной сложной вредоносной программы на Ближнем Востоке, которую эксперты отнесли к классу кибероружия. Особенность нового троянца состоит в том, что он, помимо прочего шпионского функционала, направлен на кражу финансовой информации пользователей зараженных компьютеров. Gauss скрытно пересылает на серверы управления пароли, введенные или сохраненные в браузере, файлы cookie, а также подробности конфигурации инфицированной системы.
Специалисты заявили, что наличие в Gauss функционала банковского троянца является уникальным случаем, ранее никогда не встречавшимся среди вредоносных программ, которые принято относить к классу кибероружия.
Вирус был обнаружен в ходе масштабной кампании, инициированной Международным союзом электросвязи (ITU) после выявления Flame. Ее глобальной целью является сокращение рисков, связанных с применением кибероружия, и сохранение мира в киберпространстве. Обнаружение Gauss экспертами "Лаборатории Касперского" стало возможным благодаря наличию в троянце ряда черт, объединяющих его с Flame. Сходства прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления.
Новая вредоносная программа обнаружена в июне 2012 года. Ее основной шпионский модуль был назван создателями в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца также носят имена известных математиков: Жозефа Луи Лагранжа и Курта Геделя. Проведенное исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011 года. Однако командные серверы вредоносной программы прекратили свою работу только в июле 2012 года.
Многочисленные модули Gauss предназначены для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Кроме того, атакующие получали детальную информацию о зараженном компьютере, в том числе подробности о сетевых интерфейсах, дисковых накопителях, а также данные BIOS. Троянец может красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal.
Еще одной важной особенностью Gauss является то, что он заражает USB-накопители, используя ту же самую уязвимость, что и Stuxnet, и Flame. Однако процесс инфицирования флешек отличается от предшественников наличием определенной интеллектуальной составляющей. Так, используя съемный накопитель для хранения собранной информации в одном из скрытых файлов, при определенных условиях Gauss может удалить себя и все украденные данные. Еще одной характерной чертой троянца является установка специального шрифта Palida Narrow, однако ее смысл пока не ясен.
Большинство жертв Gauss находится в Ливане. По данным облачной системы мониторинга Kaspersky Security Network, Gauss заразил порядка 2,5 тысяч компьютеров.
"Gauss очень похож на Flame по структуре и коду. Собственно именно это и позволило нам его обнаружить, - заявил Александр Гостев, главный антивирусный эксперт "Лаборатории Касперского". - Так же как Flame и Duqu, Gauss представляет собой сложную программу, предназначенную для ведения кибершпионажа с особым акцентом на скрытность действий. Однако цели недавно обнаруженного троянца совсем иные: Gauss заражает пользователей в четко определенных странах и крадет большие объемы данных. Причем особый интерес для него представляет финансовая информация".