Experti spoločnosti Kaspersky Lab začali s analýzou, medzičasom dobre známeho, malware Flame v máji 2012. Na základe výsledkov tejto analýzy dospeli k zisteniu, že červ Stuxnet bol veľmi príbuzný inej, dobre známej hrozbe - Flame. Z toho usúdili, že musí existovať istá spolupráca medzi autormi týchto dvoch infiltrácií. V hľadaní ďalších "príbuzných" však pokračovali aj naďalej. V júni objavili dosiaľ neznámy malware so štruktúrou a spôsobom komunikácie nápadne podobnej už známemu Flame. Tento malware nazvali Gauss.

Podľa expertov z Kaspersky Lab je "projekt" Gauss realizovaný v rokoch 2011 a 2012 veľmi podobne ako Flame. Aktívne bol distribuovaný na Blízkom východe, prinajmenšom posledných desať mesiacov. Avšak na rozdiel od Flame, ktorý sa najčastejšie vyskytoval v Iráne, Gauss bol „obľúbeným“ v najväčšom počte v Libanone. Prvé známe infekcie sa udiali v septembri až októbri 2011. Autori vtedy aktívne upravovali jednotlivé moduly, či menili adresy riadiacich serverov. Avšak v polovici júla 2012, kedy experti Kaspersky Lab malware skúmali, útočníci uviedli servery do stavu offline.

Funkcionalita

Gauss je navrhnutý tak, aby zhromaždil čo najviac informácií o infikovaných systémoch. Kradne prihlasovacie údaje pre rôzne bankové systémy, sociálne siete, e-mailové účty a IM kontá. Špeciálne sa zameriava na údaje týkajúce sa libanonských bánk - Bank of Beirut, Byblos banka a Fransabank. Gauss je modulárny. Úlohy vykonáva rozdelením medzi špecifické komponenty. Zvláštnosťou je, že sú pomenované po slávnych matematikoch, ako „Gauss,“ „Lagrange,“ či „Godel.“

Gauss po zhromaždení informácií odošle získané dáta kontrolným a riadiacim serverom. Informácie o obeti sú zhromažďované pomocou spomínaných modulov, z ktorých každý má svoju jedinečnú funkciu. Moduly sa postarajú o "injektáž" prehliadača, čo umožní kradnutie hesiel, cookies súborov a histórie. Ďalej zhromaždia informácie o sieti v ktorej je infikovaný počítač, o spustených procesoch, o zložkách, ale aj o biose a operačnej pamäti. Samozrejme Gauss nezabúda ani na disky, vrátane sieťových a výmenných. Po identifikácii USB zariadení ich okrem získania dát aj infikuje. V prípade nutnosti je Gauss schopný stiahnuť ďalšie moduly. Kompletný prehľad súčastí približuje nasledujúca tabuľka. Zároveň vyjadruje aj počet infikovaných počítačov, u ktorých bol daný modul využitý.

Po prvotnej infekcii systému sa pravdepodobne ako primárny zavedie komponent ShellHW, ktorý je zodpovedný za spustenie všetkých ďalších súčastí.

Paradoxom trojana Gauss je inštalácia fontu písma Palida Narrow. Tento font sám o sebe pravdepodobne nepredstavuje žiaden škodlivý prvok, či exploit. Gauss tento typ písma pridá do infikovaného systému a experti sú v rozpakoch pri určení pohnútok, ktoré k tomuto kroku viedli jeho autorov. Objavuje sa niekoľko hypotéz. Najpravdepodobnejšie bolo úmyslom autorov trojana identifikovať infikované systémy pomocou inštalovaného fontu na diaľku, napríklad prístupom na špecifické webové stránky. Ďalšou hypotézou by mohol byť pokus o označenie všetkých vytlačených dokumentov zo zasiahnutého systému. Avšak identifikáciu tohto fontu využívajú aj bezpečnostní odborníci ako jeden z testov na zistenie prítomnosti trojana v systéme. Voľne dostupné nástroje na detekciu a odstránenie vydalo Kaspersky Lab, ale i Cryptography and System Security (CrySys).

Špionážny modul, ktorý pracuje na USB diskoch využíva LNK exploit, známy ako zraniteľnosť CVE-2010-2568. Ide o podobný štýl, aký využíval pri svojom šírení i červ Stuxnet, avšak tu je o čosi efektívnejší. V skratke dôjde k „schovaniu“ súborov trojana bez použitia ovládača. Nedochádza však k samotnej infekcii systému, do ktorého je infikovaný USB disk vložený. Informácie zo systému sú získané špionážnym modulom podporujúcim 32 aj 64 bit. operačné systémy a následne uložené opäť na infikovaný USB disk do súboru thumbs.db.
Zaujímavým pri tomto trojanovi je i jeho šifrovací payload, ktorý nedokázali experti Kaspersky Lab prekonať.

Podobnosť s Flame

Podľa odborníkov existujú jasné dôkazy o podobnosti medzi týmito dvoma kúskami malware. Najzásadnejšie podobnosti sú zhrnuté v tabuľke.

Okrem týchto vlastností existuje značná miera podobnosti aj pri spôsobe komunikácie s C&C servermi (riadiacimi servermi).

Komunikácia s C&C servermi

Gauss využíva celý rad riadiacich a kontrolných serverov ku komunikácií so svojimi autormi. Najčastejšie používané domény sú:

• *.gowin7.com
• *.secuurity.net
• *.datajunction.org
• *.bestcomputeradvisor.com
• *.dotnetadvisor.info
• *.guest-access.net

Ich registrátormi sú fiktívne osoby, pravdepodobne s ukradnutou, alebo vymyslenou identitou. Rovnako, ako v prípade Flame sú adresy vzťahujúce sa k registrácií domén pridelené rôznym objektom, pravdepodobne náhodne vybraným. Ich skutoční majitelia istotne netušia ako bolo naložené z ich adresami.
Riadiace servery určené na komunikáciu využívali Linux Debian, rovnako ako aj Flame. Počúvali na portoch 22, 80 a 443. Využívali SSL certifikáty s vlastným podpisom. Jeden z certifikátov obsahuje adresu odkazujúcu na miesto v Prahe.

Infekcia štatisticky

Experti Kaspersky Lab začali s analýzou na začiatku júna 2012. Pomohli im údaje získané vďaka aplikácií Kaspersky Security Network. Išlo o rozšírenie v troch krajinách Stredného východu. 31. Júla 2012 identifikovali s touto nákazou už okolo 2500 unikátnych počítačov.

Najvyšší počet infekcií bol zaznamenaný v Libanone, s viac ako 1600 zasiahnutými počítačmi. V Izraeli a na palestínskom území, bolo zaznamenaných 750 incidentov.

Dáta o infekcii vychádzajú iba zo štatistík produktov Kaspersky Lab. Infekcie v porovnaní s podobnými hrozbami:

Ďalšia zaujímavá štatistika sa týka infikovaných operačných systémov.

Názory a špekulácie

Ross Brewer, viceprezident a hlavný manažér pre medzinárodný trh spoločnosti LogRhythm sa domnieva, že najnovší objav malware jasne poukazuje na rozvíjajúci sa trend sofistikovaných kybernetických zbraní, kde radí i Stuxnet, Duqu a Flame. Poukazuje hlavne na modul trojana Gauss nazvaný „Godel.“ Kým Gauss sa javí prevažne ako malware kradnúci finančné údaje, tento modul obsahuje i funkcionalitu sofistikovanej priemyselnej špionáže. Zdôrazňuje, že hrozby ako Gauss môžu významne narušiť fyzickú infraštruktúru jednotlivých krajín. Tradičný antivírusový softvér podľa neho nepostačuje, sústrediť sa treba na zber dát zo systémov a protokolov, obzvlášť nutné je zamerať sa na systémy SCADA. Tie sú cieľom sofistikovaných hrozieb najčastejšie.

Okolo trojana Gauss sa samozrejme vynára aj otázka, kto stojí za jeho vývojom. Vytvoriť pokročilú hrozbu takýchto rozmerov je technicky i finančne veľmi náročné. S vysokou pravdepodobnosťou tak možno predpokladať, že ide o projekt, alebo výraznú podporu niektorej krajiny. Najčastejšie sa skloňuje USA. Anup Ghosh, CEO spoločnosti Invincea, poukazuje na veľkú podobnosť v kóde trojana Gauss a už spomínaných hrozieb Stuxnet, Duqu a Flame, ale zatiaľ je skôr opatrný pri vyslovovaní unáhlených názorov o spoluúčasti USA. Pripomína, aj možnú spoluprácu Izraelu.

Ben Knieff expert spoločnosti NICE Actimize vyzdvihuje najmä šifrovanie, ktoré použili tvorcovia tohto malware. To podľa neho jasne indikuje veľmi sofistikovanú hrozbu a stále je tu i možnosť, že neboli objavené všetky funkcie tohto trojana.

Na záver však treba zdôrazniť fakt, že sofistikované kybernetické hrozby sa stávajú veľmi silnou zbraňou a v blízkej budúcnosti môžu veľmi ľahko prepuknúť i do vojenských konfliktov. S vysokou pravdepodobnosťou sa dá čoskoro očakávať objavenie ďalšieho podobného malware, dospeli sme do stavu, kedy si nikto nemôže byť istý, že nie je predmetom špionáže.

Zdroje: securelist.com, net-security.org, computerworld.com, networkworld.com