Виявлено банківський троянець державного масштабу

«Лабораторія Касперського» виявила на Близькому Сході ще одну складну шкідливу програму, яку експерти віднесли до класу кібероружія.

Особливість нового троянця, названого по імені німецького математика Йоганна Карла Фрідріха Гаусса, полягає в тому, що він, крім іншого шпигунського функціоналу, спрямований на крадіжку фінансової інформації користувачів заражених комп'ютерів. Гаус потай пересилає на сервера управління паролі, введені або збережені в браузері, файли cookie, а також подробиці конфігурації інфікованої системи.

Наявність у Гаус функціоналу банківського троянця є унікальним випадком, раніше ніколи не зустрічатися серед шкідливих програм, які прийнято відносити до класу кібероружія.

Гаус був виявлений в ході масштабної кампанії, ініційованої Міжнародним союзом електрозв'язку (International Telecommunication Union, ITU) після виявлення Flame. Її глобальною метою є скорочення ризиків, пов'язаних із застосуванням кібероружія, і збереження миру в кіберпросторі. За допомогою експертної підтримки, що здійснюється фахівцями «Лабораторії Касперського», ITU робить важливі кроки у напрямку зміцнення глобальної кібербезпеки - за активної підтримки з боку ключових партнерів за ініціативою ITU-IMPACT, урядів і приватних організацій, а також громадянського суспільства.

Виявлення Гаус експертами «Лабораторії Касперського» стало можливим завдяки наявності в троянце ряду особливостей, які об'єднують його зі складною шкідливою програмою Flame. Схожості простежуються в архітектурі, модульній структурі, а також способи зв'язку з серверами управління.

Нова шкідлива програма була виявлена «Лабораторії Касперського» у червні 2012 року. Її основний шпигунський модуль був названий творцями (які поки залишаються невідомими) на честь німецького математика Йоганна Карла Фрідріха Гаусса. Інші файли троянця також носять імена відомих математиків: Жозефа Луї Лагранжа і Курта Геделя. Проведене дослідження показало, що перші випадки зараження Гаус відносяться до вересня 2011 року. Однак командні сервера шкідливої програми припинили свою роботу тільки в липні 2012 року.

Численні модулі Гаус призначені для збору інформації, що міститься в браузері, включаючи історію відвідуваних сайтів і паролі, які використовуються в онлайн-сервісах. Крім того, атакуючі отримували детальну інформацію про зараженому комп'ютері, в тому числі подробиці про мережеві інтерфейси, дискових накопичувачах, а також дані BIOS. Троянець Гаус може викрасти конфіденційну інформацію у клієнтів ряду ліванських банків, таких як Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank і Credit Libanais. Крім того, його метою є клієнти Citibank і користувачі електронної платіжної системи PayPal.

Ще однією важливою особливістю Гаус є те, що він заражає USB-накопичувачі, використовуючи ту ж саму уразливість, що і Stuxnet, і Flame. Однак процес інфікування флешок відрізняється від попередників наявністю певної інтелектуальної складової. Так, використовуючи знімний накопичувач для зберігання зібраної інформації в одному з прихованих файлів, при певних умовах Гаус може видалити себе і всі викрадені дані. Ще однією характерною рисою троянця є установка спеціального шрифту Palida Narrow. Однак її сенс поки не ясний.

Незважаючи на те, що Гаус і Flame мають багато спільного по своїй структурі, їх географія зараження серйозно відрізняється. Максимальна кількість комп'ютерів, уражених Flame, припадає на Іран, тоді як більшість жертв Гаус знаходиться в Лівані. Кількість заражених також значно відрізняється. За даними хмарної системи моніторингу Kaspersky Security Network, Гаус заразив близько 2,5 тисяч комп'ютерів, у той час як жертв Flame було всього близько 700.

Хоча точний спосіб зараження ще не встановлено, експерти впевнені, що поширення Гаус відбувається за іншим сценарієм, ніж Flame або Duqu. Однак варто відзначити, що також як і у більш ранніх кибершпионов процес поширення троянця є строго контролюються, що говорить про намір якомога довше залишатися непоміченим.

«Gauss дуже схожий на Flame за структурою та коду. Власне, саме це і дозволило нам його виявити, - говорить Олександр Гостєв, головний антивірусний експерт «Лабораторії Касперського». - Також як Flame і Duqu, Гаус являє собою складну програму, призначену для ведення кибершпионажа з особливим акцентом на скритність дій. Однак мети нещодавно виявленого троянця зовсім інші: Гаус заражає користувачів в певних країнах і краде великі обсяги даних. Причому особливий інтерес для нього є фінансова інформація».

В даний час «Лабораторія Касперського» успішно виявляє, блокує і видаляє троянця Гаусса. В антивірусній базі він класифікується як Trojan-Spy.Win32.Gauss.

Докладний аналіз шкідливої програми Гаус доступний на сайті www.securelist.com/ru.

Факти

● Проведений аналіз показує, що вперше Гаус почав діяти у вересні 2011 року.

● Виявити троянця вдалося лише в червні 2012 року завдяки наявності у нього ряду спільних рис з Flame.

● Інфраструктура управління Гаусса була відключена в липні 2012 року, незабаром після виявлення троянів. В даний час шкідлива програма знаходиться в неактивному стані, чекаючи команд від серверів.

● Починаючи з кінця травня 2012 року, хмарна система моніторингу «Лабораторії Касперського» виявила понад 2,5 тис. заражень. Загальна ж кількість жертв Гаус може обчислюватися десятками тисяч. Це менше, ніж у хробака Stuxnet, але значно більше, ніж у Flame і Duqu.

● Гаус передає на сервер управління детальну інформацію про зараженому комп'ютері, включаючи історію браузера, файли cookie, паролі, дані про конфігурацію системи.

● Результати аналізу Гаус показують, що основною метою троянця був ряд ліванських банків, у тому числі Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank і Credit Libanais. Крім того, він був націлений на клієнтів Citibank і користувачів електронної платіжної системи PayPal.