Pressmeddelande -

Kaspersky Lab upptäcker nya cyberhotet Gauss

Kaspersky Lab och FN-organet ITU har upptäckt ”Gauss”, ett nytt cyberhot riktat mot användare i Mellanöstern. Gauss är en komplex uppsättning verktyg avsett för cyberspionage och är utvecklat med stöd från en stat. Syftet är att komma över känslig data med särskilt fokus på webbläsarlösenord, kontouppgifter till internetbanker, cookies och specifika konfigurationer hos infekterade maskiner.

Gauss innehåller ett slags trojan avsedd för internetbanker, vilket är en unik egenskap som inte har påträffats hos några tidigare cybervapen.

Upptäckten av Gauss skedde under ett initiativ från ITU (International Telecommunication Union), med anledning av cyberhotet Flame som upptäcktes tidigare i år. Initiativet har som mål att minska de risker som cybervapen utgör globalt.

Kaspersky Labs experter upptäckte Gauss genom att identifiera det skadliga programmets likheter med Flame. Likheterna omfattar plattformarnas arkitektur, strukturer hos moduler, kodbaser och kommunikationssättet med så kallade command & control (C&C) servrar.

Snabbfakta:

  • Analys tyder på att Gauss blev aktivt i september 2011.
  • Programmet upptäcktes i juni 2012 som ett resultat från de insikter man skaffat från analys och forskning kring skadliga programmet Flame.
  • Upptäckten var möjlig genom starka liknelser och samband mellan Flame och Gauss.
  • Gauss C&C-infrastruktur stängdes ner i juli 2012, strax efter upptäcken. Programmet är därför i dagsläget i inaktivt läge i väntan på att dess C&C-servrar ska bli aktiva.
  • Sedan slutet av maj 2012 har fler än 2500 infektioner registrerats av Kaspersky Labs molnbaserade säkerhetssystem. Det totala antalet offer för Gauss uppskattas dock till tiotusentals. Antalet är lägre jämfört med Stuxnet men betydligt högre än för Flame och Duqu.
  • Gauss stjäl detaljerad information från infekterade datorer, inklusive webbläsarhistorik, cookies, lösenord och systemkonfigurationer. Programmet kan även stjäla accessuppgifter för olika webbaserade banksystem och betalningsmetoder.
  • Analys av Gauss visar att programmet har utvecklats för att stjäla data från flertalet libanesiska banker. Det angriper även användare av Citibank och PayPal.
  • Programmets okända skapare har döpt huvudmodulen efter den tyske matematikern Johann Carl Friedrich Gauss. Även andra komponenter bär namn från kända matematiker, som Joseph-Louis Lagrange och Kurt Gödel.

Hur funkar Gauss?
Gauss innehåller flera moduler som används för att samla in information från webbläsare, till exempel historik över besökta webbsidor och lösenord. Detaljerad data från infekterade datorer skickas till upphovsmännen, inklusive specifikationer över nätverksgränssnitt, datorns drivenheter och BIOS-information.

En annan viktig egenskap hos Gauss är möjligheten att infektera USB-minnen, genom att använda samma LNK-sårbarhet som tidigare har använts av Stuxnet och Flame. Samtidigt är processen för att infektera USB-minnen intelligentare. Gauss kan nämligen ”disinfektera” USB-enheten under vissa förhållanden och använder den flyttbara enheten för att lagra insamlad information i en gömd fil. Trojanen kan även installera ett speciellt typsnitt med namnet Palida Narrow. Syftet med detta är dock fortfarande okänt.

Även om strukturen hos Gauss bär likheter med Flame är de geografiska infektionsområdena märkbart olika. Flame hade flest antal drabbade i Iran medan majoriteten av offren för Gauss finns i Libanon. Antalet infektioner skiljer sig också: siffror från Kaspersky Security Network (KSN) visar att Gauss har infekterat runt 2500 maskiner medan Flame infekterade runt 700 maskiner.

Exakt hur metoden för att infektera datorer är ännu inte fastställt men det står klart att Gauss sprider sig på ett annat sätt än Flame och Duqu. Spridningsmekanismerna hos Gauss, precis som hos Flame Duqu, genomförs dock på ett kontrollerat sätt vilket tyder på att utvecklarna är måna om att dölja programmets existens.

I dagsläget identifierar, blockerar och oskadliggör Kaspersky Labs säkerhetsprogram Gauss. Programmet klassificeras som Trojan-Spy.Win32.Gauss.

Vidare analys av Gauss: http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution

Frågor & svar om Gauss: http://www.securelist.com/en/blog?weblogid=208193767


Mediekontakt: Bite Communications, 08-402 01 00, kaspersky@bitepr.se

Om Kaspersky Lab
Kaspersky Lab är världens största privatägda leverantör av klientsäkerhetslösningar. Företaget rankas bland världens fyra främsta leverantörer av säkerhetslösningar för klientanvändare*. Kaspersky Lab har under 15 år varit en innovatör inom IT-säkerhet och förser konsumenter, samt små och stora företag, med effektiva digitala säkerhetslösningar. Företaget är för nuvarande verksamt i nästan 200 länder och ger skydd åt över 300 miljoner användare över hela världen. Läs mer på www.kaspersky.se.

* Företaget rankades på fjärde plats i IDC:s Worldwide Endpoint Security Revenue by Vendor, 2010. Rankingen publicerades i IDC:s rapport Worldwide IT Security Products 2011-2015 Forecast and 2010 Vendor Shares – December 2011. Rapporten rangordnar programleverantörer efter försäljningsintäkter från klientsäkerhetslösningar under 2010.

Ämnen

  • Data, Telekom, IT

Kategorier

  • gauss
  • mellanöstern
  • cyberhot
  • kaspersky lab
  • trojan
  • itu

Kontakter

Caroline Breure

Presskontakt Corporate Communication Manager Benelux, Nordic and Israel +31 6 3179 3632

Relaterat innehåll

Kaspersky Lab bevisar samband mellan Flame och Stuxnet

Kaspersky Labs fortsatta analys av det skadliga programmet Flame visar att det finns ett tydligt samband mellan utvecklingen av Flame och Stuxnet/Duqu. Skaparna av programmen har samarbetat vid åtminstone ett tillfälle under de tidiga utvecklingsfaserna.

Kaspersky Lab djupanalyserar Flame

Kaspersky Lab har noggrant undersökt infrastrukturen hos Flame och publicerade idag en detaljerad sammanfattning av resultaten.

Kaspersky Lab och ITU avslöjar nytt avancerat cyberhot

IT-säkerhetsföretaget Kaspersky Lab meddelar att man har upptäckt ett mycket sofistikerat skadligt program som aktivt används som ett cybervapen för att attackera mål i ett flertal länder. Programmet är det hittills mest komplexa och avancerade av sitt slag.

Gammal mask modell för flera cyberspionageprogram

Experter hos G-Data och BAE Systems släppte nyligen information om en avancerad cyberspionageoperation med kodnamnet Turla (även känd som Snake eller Uroburos). Nu har Kaspersky Lab hittat ett oväntat samband mellan Turla och ett välkänt skadligt program med namnet Agent.BTZ.

Fyll i din epostadress för att följa Kaspersky Lab

När du väljer att skapa ett konto och följa ett nyhetsrum kommer dina personuppgifter behandlas av oss och av ägaren av nyhetsrummet för att du ska kunna motta nyheter och uppdateringar enligt dina bevakningsinställningar.

För att läsa mer om detta, var vänlig läs vår Integritetspolicy som berör vår behandling av dina personuppgifter, och Integritetspolicy för Contacts som berör behandlingen av dina personuppgifter från ägaren av nyhetsrummet du följer.

Vänligen notera att våra Användarvillkor gäller alla våra tjänster.

Du kan dra tillbaka ditt samtycke när som helst genom att avregistrera dig eller genom att ta bort ditt konto.
Kolla din inkorg

Mejl skickat till __email__. Klicka på länken i mejlet för att följa Kaspersky Lab.

Okej