«Лаборатория Касперского» обнаружила на Ближнем Востоке вредоносную программу Gauss (Trojan-Spy.Win32.Gauss), которую специалисты тоже отнесли к классу кибероружия. Троян создан для шпионажа и сбора финансовой информации с заражённых компьютеров. Впервые среди троянов, которые принято относить к государственным разработкам, встречается программа специфической финансовой направленности, хотя для обычных зловредов это не редкость.
Gauss обнаружен в ходе масштабной кампании, инициированной Международным союзом электросвязи (ITU) после обнаружения Flame. «Лаборатория Касперского» активно участвует в этой кампании, разоблачая всё новые проекты иностранных спецслужб. Именно таким образом в июне 2012 года был выявлен Gauss, названный своими создателями в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца также носят имена известных математиков, в том числе Жозефа Луи Лагранжа и Курта Гёделя.
В структуре Gauss явно прослеживается родственная связь с Flame: это архитектура, модульная структура, а также способы связи с серверами управления. Gauss заражает USB-накопители, используя ту же самую уязвимость, что и Stuxnet, и Flame, хотя и обладает продвинутой возможностью самоудаляться с флэшки. «Gauss очень похож на Flame по структуре и коду. Собственно именно это и позволило нам его обнаружить, — говорит Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». — Также как Flame и Duqu, Gauss представляет собой сложную программу, предназначенную для ведения кибершпионажа с особым акцентом на скрытность действий. Однако, цели недавно обнаруженного троянца совсем иные: Gauss заражает пользователей в чётко определенных странах и крадёт большие объёмы данных».
Многочисленные модули предназначены для сбора информации в браузере, подробности о сетевых интерфейсах, дисковых накопителях, данные BIOS. Троянец крадёт конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal.
Расследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011 года, а командные серверы прекратили свою работу в июле 2012 года, после обнаружения трояна антивирусными компаниями.
- Стоимость медиауслуг (открыть PDF) -
