Исследователи «Лаборатории Касперского» опять обратились за помощью к сообществу, столкнувшись с непосильной задачей. Напомним, в прошлый раз они просили помочь определить, на каком языке программирования написан фреймворк Duqu. Люди помогли советом — и правильный ответ в итоге нашли.

Теперь перед специалистами возникла задача посложнее — троян Gauss, предположительно созданный государственными спецслужбами. Эта программа по сложности почти не уступает Flame и относится к тому же классу вредоносного программного обеспечения. По некоторым признакам можно предположить, что Gauss и Flame созданы близкими командами программистов, которые в процессе работы делились друг с другом результатами труда.

Gauss способен заражать компьютеры некоей конкретной конфигурации, очевидно, это инструмент узкотаргетированной атаки. Расшифровав ключ, который генерируется на основе конфигурации компьютера, можно будет понять, против кого конкретно был разработано оружие. См. подробный анализ Gauss.

Сообщение на сайте «Лаборатории Касперского»:

Зашифрованный функционал троянца содержится в специальных модулях, отвечающих за кражу информации и хранение её на USB-накопителе, и позволяет злоумышленникам атаковать только те системы, которые имеют определённый набор установленных программ. После того, как заражённая флэшка подключается к уязвимому компьютеру, вредоносная программа активируется и пытается расшифровать содержимое с помощью специального ключа. Ключ же составляется на основании данных о специфической конфигурации системы инфицированного компьютера. Так, например, он включает название папки в разделе Program Files, первая буква которой написана символом из расширенного набора, например на арабском или иврите. Если конфигурация соответствует «эталонной», ключ отдаёт команду на расшифровку и исполнение содержимого.

«На сегодняшний день вопросы о предназначении и функционале зашифрованного модуля остаются без ответа. Использование криптографических методов и меры, которые предприняли авторы зашифрованного модуля для того, чтобы он как можно дольше оставался незамеченным, говорят о высоком уровне целей злоумышленников, — говорит Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». — Особое внимание стоит уделить размеру зашифрованного модуля. Он достаточно велик для того, чтобы содержать в себе код, который может быть использован для кибершпионажа и по размерам сравним с кодом модификации SCADA-систем в черве Stuxnet. Расшифровка содержимого позволит лучше понять как источник этой угрозы, так и её цели».

«Лаборатория Касперского» призывает всех тех, кто интересуется криптографией, реверс-инжинирингом и математикой, и хочет принять участие в расшифровке ключей, связаться с экспертами по адресу theflame@kaspersky.com.



Оставить мнение