Gauss bespioneert internetbankieren in Midden-Oosten

Kaspersky Lab heeft een nieuwe malware in de klasse van Stuxnet, Duqu en Flame ondekt, die het internetbankieren in het Midden-Oosten bespioneert.

Kaspersky Lab heeft een nieuwe malware in de klasse van Stuxnet, Duqu en Flame ondekt, die het internetbankieren in het Midden Oosten bespioneert.

Na Flame (en Madi, een niet-verwant stuk malware) heeft securityspecialist Kaspersky Lab met ‘Gauss’ nogmaals een stuk malware geïdentificeerd dat klaarblijkelijk door een land werd ontwikkeld met het oog op een vorm van cyberoorlogsvoering. Kaspersky Lab verwijst hierbij naar het gebruik van een zelfde architectuurplatform en stukken gedeelde code met andere malware in die klasse. Gauss is dan ook duidelijk verwant aan Flame, zoals Kaspersky Lab aantoont in een technisch overzicht, terwijl Flame op zijn beurt met Stuxnet en dus ook met DuQu is gelinkt. Telkens gaat het om gesofisticeerde modulaire software die door professionelen met kennis van zaken en goede middelen werd geschreven.

Met Gauss werd voor het eerst ook ‘cyberoorlog-achtige’ malware gevonden die uitdrukkelijk speurt naar informatie in de financiële wereld, evenwel zonder het doel geld te stelen. De malware richtte zich naar gebruikers van banken als Crédit Libanais, Bank of Beirut, CitiBank, PayPal, FransaBank, BlomBank, ByblosBank en anderen. Meteen werd ook duidelijk dat het zwaartepunt van de besmetting in Libanon ligt, met sporen van de malware op 1.660 systemen in dat land. Daarnaast zijn ook 483 besmette systemen in Israel, 261 in de Palestijnse gebieden en nog een kleine honderdtal in andere landen gevonden. België, Nederland en Frankrijk komen niet voor in de lijst van landen met besmettingen. Deze cijfers maken Gauss tot een behoorlijk selectieve aanvaller, met minder besmettingen op zijn actief dan Stuxnet, maar meer dan Flame en Duqu.

Op basis van de geografische verdeling van de besmettingen van de verschillende stukken malware, concludeert Kaspersky Lab dat het epicentrum van de cyberoorlogsvoering momenteel zich in het Midden Oosten bevindt. Wie de opdracht tot de malware heeft gegeven en wie de ontwikkeling steunde, of welke landen achter deze vormen van cyberoorlog zitten, kon Kaspersky Lab niet zeggen want “het kan eender welk land zijn. We weten het niet,” aldus Vitaly Kamluk, Kaspersky’s top malware-expert in het Global Research & Analysis Team. Het bedrijf onthoudt zich van speculaties en houdt zich bij de “technische objectieve gegevens” zoals het die ontdekt in zijn analyses.

Wat de volledige ‘payload’ van Gauss is, is nog niet geweten. Een deel van de code is versleuteld en kon nog niet worden geanalyseerd. Voorts zijn de controlecentra van de malware momenteel uit de lucht, maar deze bevonden zich eerst in de VS, vervolgens Portugal en bij de laatste waarneming in India. De besmettingen zijn ongeveer gelijk verdeeld over Windows 7 en Windows XP systemen (er werden geen besmettingen op non-Windows systemen waargenomen).

Niet de laatste malware De ontdekking van Gauss is nog een gevolg van een verzoek van de ITU aan Kaspersky Lab om onderzoek te doen naar de ‘Wiper’malware. De Russische securityspecialist had niet verwacht al zo gauw na Flame nog een nieuw stuk cyberoorlog-malware te vinden, wat het aantal in de voorbije 12 maanden al op drie stuks brengt. En het zal niet het laatste zijn, vreest Vitaly Kamluk. Hij klaagt daarbij eens te meer de laksheid van de internationale gemeenschap aan in hun optreden tegen deze dreiging. Kaspersky Lab en in het bijzonder ceo Eugene Kasperski hebben al bij herhaling de landen opgeroepen om verdragen af te sluiten die de opkomst van dergelijke cyberoorlog-malware verbiedt en aanpakt. Eugene Kasperski vreest immers dat malware als Stuxnet en afgeleiden bijzonder zware schade kan aanrichten. Volgens het Russische C-News zou Kaspersky Lab werken aan een beveiligd OS voor SCADA systemen (de stuur- en beheersoftware voor industriële systemen), om aanvallen met oorlogsvoeringsmalware te stuiten.

In de marge: Interessant is dat de modules van Gauss op hun beurt de namen hebben van gekende wetenschappers of filosofen, zoals Lagrange en Godel dragen. Voorts liggen de beginletters van de vier cyberware-malwares – S,D,F,G – keurig naast elkaar op zowel azerty- als qwerty toetsenborden.