«Лаборатория Касперского» обнаружила на Ближнем Востоке еще одну сложную вредоносную программу, которую эксперты отнесли к классу кибероружия.
Особенность нового троянца, названного по имени немецкого математика Иоганна Карла Фридриха Гаусса, состоит в том, что он, помимо прочего шпионского функционала, направлен на кражу финансовой информации пользователей зараженных компьютеров. Gauss скрытно пересылает на сервера управления пароли, введенные или сохраненные в браузере, файлы cookie, а также подробности конфигурации инфицированной системы.
Наличие в Gauss функционала банковского троянца является уникальным случаем, ранее никогда не встречавшимся среди вредоносных программ, которые принято относить к классу кибероружия.
Gauss был обнаружен в ходе масштабной кампании, инициированной Международным союзом электросвязи (International Telecommunication Union, ITU) после выявления Flame. Ее глобальной целью является сокращение рисков, связанных с применением кибероружия, и сохранение мира в киберпространстве. С помощью экспертной поддержки, осуществляемой специалистами «Лаборатории Касперского», ITU предпринимает важные шаги в направлении укрепления глобальной кибербезопасности – при активной поддержке со стороны ключевых партнеров по инициативе ITU-IMPACT, правительств и частных организаций, а также гражданского общества.
Обнаружение Gauss экспертами «Лаборатории Касперского» стало возможным благодаря наличию в троянце ряда черт, объединяющих его со сложной вредоносной программой Flame. Сходства прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления.
Новая вредоносная программа была обнаружена «Лабораторией Касперского» в июне 2012 года. Ее основной шпионский модуль был назван создателями (которые пока остаются неизвестными) в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца также носят имена известных математиков: Жозефа Луи Лагранжа и Курта Гёделя. Проведенное исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011 года. Однако командные сервера вредоносной программы прекратили свою работу только в июле 2012 года.
Многочисленные модули Gauss предназначены для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Кроме того, атакующие получали детальную информацию о зараженном компьютере, в том числе подробности о сетевых интерфейсах, дисковых накопителях, а также данные BIOS. Троянец Gauss может красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal.