patapap
VIP member
- Messages
- 320
- Reaction score
- 61
- Points
- 28
"Лаборатория Касперского" обнаружила на Ближнем Востоке еще одну сложную вредоносную программу, которую эксперты отнесли к классу кибероружия. Как сообщили в пресс-службе компании, особенность нового троянца состоит в том, что он, помимо прочего шпионского функционала, направлен на кражу финансовой информации пользователей зараженных компьютеров. Gauss скрытно пересылает на сервера управления пароли, введенные или сохраненные в браузере, файлы cookie, а также подробности конфигурации инфицированной системы.
"Наличие в Gauss функционала банковского троянца является уникальным случаем, ранее никогда не встречавшимся среди вредоносных программ, которые принято относить к классу кибероружия", - говорится в сообщении лаборатории.
Gauss был обнаружен в ходе кампании, инициированной Международным союзом электросвязи (ITU) после выявления сложной вредоносной программой Flame. Обнаружение Gauss стало возможным благодаря наличию в троянце ряда черт, объединяющих его с Flame. Сходства прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления.
Основной шпионский модуль новой вредоносной программы был назван создателями (которые пока остаются неизвестными) в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца также носят имена известных математиков: Жозефа Луи Лагранжа и Курта Геделя. Исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011г. Однако командные сервера вредоносной программы прекратили свою работу только в июле 2012г.
Многочисленные модули Gauss предназначены для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Кроме того, атакующие получали детальную информацию о зараженном компьютере, в том числе подробности о сетевых интерфейсах, дисковых накопителях, а также данные BIOS. Троянец Gauss может красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal.
Еще одной важной особенностью Gauss является то, что он заражает USB-накопители, используя ту же самую уязвимость, что и Stuxnet, и Flame. Однако процесс инфицирования флэшек отличается от предшественников наличием определенной интеллектуальной составляющей. Так, используя съемный накопитель для хранения собранной информации в одном из скрытых файлов, при определенных условиях Gauss может удалить себя и все украденные данные. Еще одной характерной чертой троянца является установка специального шрифта Palida Narrow. Однако ее смысл пока не ясен.
Несмотря на то, что Gauss и Flame имеют много общего по своей структуре, их география заражения серьезно разнится. Максимальное количество компьютеров, пораженных Flame, приходится на Иран, тогда как большинство жертв Gauss находится в Ливане. Число зараженных также значительно отличается. По данным "облачной" системы мониторинга Kaspersky Security Network, Gauss заразил порядка 2,5 тыс. компьютеров, в то время как жертв Flame было всего около 700. Три основные страны, подвергшиеся заражению Gauss, - Ливан, Израиль и Палестина.
Хотя точный способ заражения еще не установлен, эксперты уверены, что распространение Gauss происходит по иному сценарию, нежели Flame или Duqu. Однако стоит отметить, что, так же как и у более ранних кибершпионов, процесс распространения троянца является строго контролируемым, что говорит о намерении как можно дольше оставаться незамеченным, указали в "Лаборатории Касперского".
Источник: www.navigator.az
Новое оружие ближневосточной кибервойны: троянца под названием Gauss обнаружили эксперты из "Лаборатории Касперского". Вирус устанавливается на машины под Windows и целенаправленно занимается кражей финансовых данных: номеров банковских карт, паролей к системам интернет-банкинга и данных по транзакциям. Что интересно, собственно, деньги вирус не крадет, только информацию о счетах. На данный момент вредоносная программа действует уже почти год, и заражено ею, только по данным "Лаборатории Касперского", около 2,5 тысячи компьютеров. Большинство — в Ливане. Очевидно, целью инициаторов вируса были сотрудники крупнейших банков страны.
"В нем существует специальный модуль, который занимается целенаправленной кражей аккаунтов доступа к системам банкинга ливанских банков. Ливанские банки носят репутацию таких ближневосточных, по сути дела, швейцарских банков. Не разглашают никому информацию о своих клиентах. И действительно, очень многие сомнительные организации, видимо, используют эти банки для хранения своих денег", — рассказал Александр Гостев, главный антивирусный эксперт "Лаборатории Касперского".
Изучив природу вируса, в "Лаборатории Касперского" пришли к интересным выводам. Gauss — родственник троянца Flame, сложной программы, созданной для похищения личной информации пользователя, от почтовой переписки до паролей к банковским картам. Flame был обезврежен еще в начале лета, и полученная о нем информация помогла выйти и на Gauss. У двух троянцев, как отмечают эксперты, очень похожий дизайн, одинаковые структура модулей, кодовая база и средства связи с серверами управления. Все это позволяет сделать выводы о том, кто может стоять за созданием вирусов.
"Несомненно, за этими вещами стоит какое-либо правительство, какое-то государство мира, которое создает подобные угрозы. Дело в том, что у нас нет четких доказательств причастности какого-либо государства. У нас есть, опять же, догадки, предположения, но поскольку у нас нет вот этих четких фактов, мы, к сожалению, не можем обвинять какое-либо конкретное государство в создании подобных угроз", — сообщил Александр Гостев.
О том, что вирус сделан при поддержке крупного государства, говорит его высокая стоимость и сложность: такая, что даже эксперты из "Лаборатории Касперского", сумев заблокировать вирус, изучить его до конца так и не смогли. Например, способ распространения вируса до сих пор загадка.
"Мы видим порядка двух с половиной тысяч зараженных пользователей, это только по нашим данным, в реальности, я думаю, эта цифра гораздо, гораздо больше, возможно, как минимум 10 тысяч пострадавших от него. Распространялся он примерно с сентября прошлого года, и такое большое число заражений должно свидетельствовать о наличии некоего функционала червя, то есть, способности самораспространяться. Но во всех модулях Gauss, которые мы обнаружили и исследовали, подобного функционала нет", — объяснил главный антивирусный эксперт "Лаборатории Касперского".
Сделав свое грязное дело и отправив украденные данные своим создателям, Gauss самоуничтожался. Где и когда всплывут полученные сведения, остается тайной.
Это уже четвертый вирус, авторство которого приписывают госструктурам. До этого на том же Ближнем Востоке были обнаружены и обезврежены троянцы Stuxnet, созданный с целью саботажа иранской ядерной программы, а также Flame и Duqu, направленные на хищение личных данных влиятельных лиц ближневосточных "стран-изгоев". До недавнего времени сетевое противостояние велось в основном "в одни ворота", но в конце июля в "Лаборатории Касперского" заявили об обнаружении первого ответного удара — вируса Madi. Этот весьма примитивный троянец запускал щупальца в личные данные пользователя на Gmail, Facebook, Skype, кроме того, вирус мог включать и выключать микрофон, записывая разговоры жертвы, фиксировать нажатия клавиш и многое другое. За несколько месяцев Madi успел заразить более 800 компьютеров, причем большинство из них — в Израиле.
Ссылка на видео: Вести.ру
"Наличие в Gauss функционала банковского троянца является уникальным случаем, ранее никогда не встречавшимся среди вредоносных программ, которые принято относить к классу кибероружия", - говорится в сообщении лаборатории.
Gauss был обнаружен в ходе кампании, инициированной Международным союзом электросвязи (ITU) после выявления сложной вредоносной программой Flame. Обнаружение Gauss стало возможным благодаря наличию в троянце ряда черт, объединяющих его с Flame. Сходства прослеживаются в архитектуре, модульной структуре, а также способах связи с серверами управления.
Основной шпионский модуль новой вредоносной программы был назван создателями (которые пока остаются неизвестными) в честь немецкого математика Иоганна Карла Фридриха Гаусса. Другие файлы троянца также носят имена известных математиков: Жозефа Луи Лагранжа и Курта Геделя. Исследование показало, что первые случаи заражения Gauss относятся к сентябрю 2011г. Однако командные сервера вредоносной программы прекратили свою работу только в июле 2012г.
Многочисленные модули Gauss предназначены для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Кроме того, атакующие получали детальную информацию о зараженном компьютере, в том числе подробности о сетевых интерфейсах, дисковых накопителях, а также данные BIOS. Троянец Gauss может красть конфиденциальную информацию у клиентов ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais. Кроме того, его целью являются клиенты Citibank и пользователи электронной платежной системы PayPal.
Еще одной важной особенностью Gauss является то, что он заражает USB-накопители, используя ту же самую уязвимость, что и Stuxnet, и Flame. Однако процесс инфицирования флэшек отличается от предшественников наличием определенной интеллектуальной составляющей. Так, используя съемный накопитель для хранения собранной информации в одном из скрытых файлов, при определенных условиях Gauss может удалить себя и все украденные данные. Еще одной характерной чертой троянца является установка специального шрифта Palida Narrow. Однако ее смысл пока не ясен.
Несмотря на то, что Gauss и Flame имеют много общего по своей структуре, их география заражения серьезно разнится. Максимальное количество компьютеров, пораженных Flame, приходится на Иран, тогда как большинство жертв Gauss находится в Ливане. Число зараженных также значительно отличается. По данным "облачной" системы мониторинга Kaspersky Security Network, Gauss заразил порядка 2,5 тыс. компьютеров, в то время как жертв Flame было всего около 700. Три основные страны, подвергшиеся заражению Gauss, - Ливан, Израиль и Палестина.
Хотя точный способ заражения еще не установлен, эксперты уверены, что распространение Gauss происходит по иному сценарию, нежели Flame или Duqu. Однако стоит отметить, что, так же как и у более ранних кибершпионов, процесс распространения троянца является строго контролируемым, что говорит о намерении как можно дольше оставаться незамеченным, указали в "Лаборатории Касперского".
Источник: www.navigator.az
Вот, что пишет другой источник:
Новое оружие ближневосточной кибервойны: троянца под названием Gauss обнаружили эксперты из "Лаборатории Касперского". Вирус устанавливается на машины под Windows и целенаправленно занимается кражей финансовых данных: номеров банковских карт, паролей к системам интернет-банкинга и данных по транзакциям. Что интересно, собственно, деньги вирус не крадет, только информацию о счетах. На данный момент вредоносная программа действует уже почти год, и заражено ею, только по данным "Лаборатории Касперского", около 2,5 тысячи компьютеров. Большинство — в Ливане. Очевидно, целью инициаторов вируса были сотрудники крупнейших банков страны.
"В нем существует специальный модуль, который занимается целенаправленной кражей аккаунтов доступа к системам банкинга ливанских банков. Ливанские банки носят репутацию таких ближневосточных, по сути дела, швейцарских банков. Не разглашают никому информацию о своих клиентах. И действительно, очень многие сомнительные организации, видимо, используют эти банки для хранения своих денег", — рассказал Александр Гостев, главный антивирусный эксперт "Лаборатории Касперского".
Изучив природу вируса, в "Лаборатории Касперского" пришли к интересным выводам. Gauss — родственник троянца Flame, сложной программы, созданной для похищения личной информации пользователя, от почтовой переписки до паролей к банковским картам. Flame был обезврежен еще в начале лета, и полученная о нем информация помогла выйти и на Gauss. У двух троянцев, как отмечают эксперты, очень похожий дизайн, одинаковые структура модулей, кодовая база и средства связи с серверами управления. Все это позволяет сделать выводы о том, кто может стоять за созданием вирусов.
"Несомненно, за этими вещами стоит какое-либо правительство, какое-то государство мира, которое создает подобные угрозы. Дело в том, что у нас нет четких доказательств причастности какого-либо государства. У нас есть, опять же, догадки, предположения, но поскольку у нас нет вот этих четких фактов, мы, к сожалению, не можем обвинять какое-либо конкретное государство в создании подобных угроз", — сообщил Александр Гостев.
О том, что вирус сделан при поддержке крупного государства, говорит его высокая стоимость и сложность: такая, что даже эксперты из "Лаборатории Касперского", сумев заблокировать вирус, изучить его до конца так и не смогли. Например, способ распространения вируса до сих пор загадка.
"Мы видим порядка двух с половиной тысяч зараженных пользователей, это только по нашим данным, в реальности, я думаю, эта цифра гораздо, гораздо больше, возможно, как минимум 10 тысяч пострадавших от него. Распространялся он примерно с сентября прошлого года, и такое большое число заражений должно свидетельствовать о наличии некоего функционала червя, то есть, способности самораспространяться. Но во всех модулях Gauss, которые мы обнаружили и исследовали, подобного функционала нет", — объяснил главный антивирусный эксперт "Лаборатории Касперского".
Сделав свое грязное дело и отправив украденные данные своим создателям, Gauss самоуничтожался. Где и когда всплывут полученные сведения, остается тайной.
Это уже четвертый вирус, авторство которого приписывают госструктурам. До этого на том же Ближнем Востоке были обнаружены и обезврежены троянцы Stuxnet, созданный с целью саботажа иранской ядерной программы, а также Flame и Duqu, направленные на хищение личных данных влиятельных лиц ближневосточных "стран-изгоев". До недавнего времени сетевое противостояние велось в основном "в одни ворота", но в конце июля в "Лаборатории Касперского" заявили об обнаружении первого ответного удара — вируса Madi. Этот весьма примитивный троянец запускал щупальца в личные данные пользователя на Gmail, Facebook, Skype, кроме того, вирус мог включать и выключать микрофон, записывая разговоры жертвы, фиксировать нажатия клавиш и многое другое. За несколько месяцев Madi успел заразить более 800 компьютеров, причем большинство из них — в Израиле.
Ссылка на видео: Вести.ру
Last edited:
