“Лаборатория Касперского” сообщила об обнаружении на Ближнем Востоке сложной вредоносной программы, которую эксперты отнесли к классу кибероружия. По их оценкам, особенность нового троянца, названного по имени немецкого математика Иоганна Карла Фридриха Гаусса, состоит в том, что он, помимо шпионажа за жертвой, крадет также и финансовую информацию пользователей зараженных компьютеров, скрытно пересылая на серверы управления пароли, введенные или сохраненные в браузере, файлы cookie, а также подробности конфигурации атакованной инфицированной системы.
Наличие в Gauss функционала банковского троянца является, как считают в ЛК, уникальным случаем, ранее никогда не встречавшимся среди вредоносных программ, которые принято относить к классу кибероружия.
Gauss был обнаружен в ходе кампании, инициированной Международным союзом электросвязи (ITU). Ее целью является сокращение рисков, связанных с применением кибероружия, и сохранение мира в киберпространстве. С помощью экспертной поддержки, осуществляемой специалистами “Лаборатории Касперского”, ITU предпринимает шаги в направлении укрепления глобальной кибербезопасности — при активной поддержке со стороны ключевых партнеров по инициативе ITU-IMPACT, правительств и частных организаций, а также гражданского общества.
Обнаружение Gauss экспертами ЛК стало возможным благодаря наличию в троянце ряда черт, объединяющих его со сложной вредоносной программой Flame. Сходства прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления. Gauss был обнаружен ЛК в июне 2012 г. Проведенное исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011 г., а его командные серверы прекратили работу только в июле 2012 г.
Несмотря на то, что Gauss и Flame имеют много общего по своей структуре, их география заражения серьезно разнится. Максимальное количество компьютеров, пораженных Flame, приходится на Иран, тогда как большинство жертв Gauss находится в Ливане. Число зараженных также значительно отличается. По данным системы мониторинга Kaspersky Security Network, Gauss заразил около 2,5 тыс. компьютеров, в то время как жертв Flame было примерно 700.
Эксперты уверены, что распространение Gauss происходит по иному сценарию, нежели Flame или Duqu. Они отмечают, что также как и у более ранних кибершпионов процесс распространения троянца является строго контролируемым, что говорит о намерении как можно дольше оставаться незамеченным.
“Gauss очень похож на Flame по структуре и коду. Собственно именно это и позволило нам его обнаружить, — говорит Александр Гостев, главный антивирусный эксперт “Лаборатории Касперского”. — Также как Flame и Duqu, Gauss представляет собой сложную программу, предназначенную для ведения кибершпионажа с особым акцентом на скрытность действий. Однако цели недавно обнаруженного троянца совсем иные: Gauss заражает пользователей в четко определенных странах и крадет большие объемы данных. Причем особый интерес для него представляет финансовая информация”.
Как сообщила “Лаборатория Касперского”, сегодня она успешно детектирует, блокирует и удаляет троянца Gauss. В ее антивирусной базе он классифицируется как Trojan-Spy.Win32.Gauss.