La famiglia dei malware creati ad arte per portare attacchi mirati saluta Gauss (Trojan.Win32.Gauss), l’ultimo arrivato del gruppo.
Gauss è stato realizzato sulla stessa piattaforma di Flame e condivide con Stuxnet (edizione 2010) il modulo di propagazione via USB.
Questo malware è stato realizzato a metà del 2011, rilasciato pochi mesi dopo ed è stato identificato come tale nel giugno del 2012.
L’analisi di Gauss è ancora in corso, quindi le informazioni non sono ancora complete, Kaspersky ha pubblicato un documento tecnico con le informazioni disponibili (HTML, PDF).
Gauss attacca i computer Windows e cerca di carpire, tra le altre cose, informazioni bancarie di istituti di credito libanesi. La natura modulare del malware (i cui nomi in codice sono quelli di illustri matematici, donde il come del malware) consente a Gauss di eseguire altre operazioni di sorveglianza del sistema infetto.
Per il momento il malware ha infettato principalmente i computer del Medio Oriente, primi tra tutti Libano e Israele.
Per la prima volta tra i malware scoperti, i C&C vengono contattati attraverso un sistema di Round Robin DNS, che permette un certo grado di ridondanza dei C&C, ma presuppone una discreto livello di organizzazione da parte dell’attaccante.
Gauss ha anche un sistema di autodistruzione a tempo per limitare la possibilità di rilevamento: quando viene infettata una chiavetta USB viene impostato un contatore a 30 e viene decrementato ogni volta che Gauss viene eseguito da quella chiavetta. Quando il contatore raggiunge lo zero, Gauss viene rimosso dalla chiavetta. (via Securelist, Eugene Kaspersky)
Aggiornamento 11 agosto – F-Secure fa notare che lo scorso aprile il Wall Street Journal aveva riportato la notizia [paywalled] che l’amministrazione Obama stava intensificando i controlli sulle banche libanesi, sospettando che queste venissero utilizzate da Siria, Iran e dagli Hezbollah. Inoltre, secondo il Washington Post, il Pentagono vorrebbe cambiare le regole d’ingaggio per gli attacchi informatici, portando più alla luce del sole questo tipo di azioni.
Lascia un commento