Kaspersky Lab a anuntat recent descoperirea lui Gauss un instrument de spionaj cibernetic, finantat de un stat. Gauss are capacitatea de a fura multiple categorii de informatii, in special parolele introduse in browser, detaliile conturilor de online banking si configuratiile de sistem ale computerelor infectate.

Expertii Kaspersky Lab au identificat Gauss in urma asemanarilor acestuia cu virusul Flame. Inca din mai 2012, peste 2500 de infectii cu Gauss au fost inregistrate de sistemul de securitate cloud al Kaspersky Lab, majoritatea fiind localizate in Orientul Mijlociu.

Kaspersky Lab a publicat o analiza a Gauss, care prezinta functiile si caracteristicile primare ale acestuia, pe langa arhitectura, modulele unice, metodele de comunicare cu serverele de comanda si control (C&C), precum si statisticile referitoare la infectiile cu acest malware. Insa, cateva intrebari si mistere legate de Gauss raman nerezolvate, unul dintre aceste mistere fiind o structura de informatie criptata („encrypted payload”), creata pentru a initia o actiune in momentul in care infecteaza computerul.

Structura criptata este localizata in modulele USB de sustragere a datelor si este creata pentru a tinti numai un anumit sistem (sau sisteme), care au un program special instalat pe ele. Imediat ce stick-ul USB este introdus in computerul vulnerabil, malware-ul este executat si incearca sa interpreteze structura de informatie prin crearea unei chei de decriptare. Cheia respectiva este generata prin intermediul configuratiilor specifice de sistem din computer.

De exemplu, poate include numele unui fisier localizat in Program Files, care trebuie sa aiba primul caracter scris intr-un sir de caractere extins, precum arabic sau evreiesc. Daca malware-ul identifica respectivele configuratii de sistem, atunci va decripta si executa acea structura de informatie.

„Pentru moment, scopul si functiile acestei structuri criptate raman un mister”, spune Alks Gostev, Chief Security Expert, Global Research and Analysis Team, Kaspersky Lab. „Utilizarea criptografiei si gradul ridicat de precautie pentru ascunderea lui indica faptul ca victimele tintite de aceasta structura erau de rang inalt. Marimea structurii de cod reprezinta, de asemenea, o ingrijorare. Aceasta este suficient de mare pentru a contine cod utilizat in spionaj cibernetic, similar codului SCADA din Stuxnet. Decriptarea acestei structuri ne va oferi o mai buna intelegere a obiectivului principal din spatele Gauss, precum si a naturii acestui malware”, completeaza Gostev.

Kaspersky Lab invita pe toti cei pasionati de criptografie, inginerie inversa si matematica sa ajute la identificarea cheilor necesare decriptarii structurii de cod ascunse.