Gauss: закодированное кибер-оружие пока не расшифровано
Исследователи «Лаборатории Касперского» и других антивирусных компаний ломают голову над расшифровкой новой целенаправленной вредоносной программы Gauss, основной удар которой пришелся по пользователям на Ближнем Востоке. Очередное средство целевой атаки представляет собой одновременно и троян, и бэкдор. На этот раз хакеры решили привязать вредоносный код к компьютеру-мишени.
Для передачи кода на компьютер, выбранный в качестве жертвы, программа выявляет индивидуальные аспекты его конфигурации, в том числе имена существующих в системе файлов и папок. Полученная информация используется как часть ключа для расшифровки и исполнения содержимого.
К сожалению, это означает, что, не зная конфигурации и файловой системы компьютера-мишени, специалисты по компьютерной безопасности не могут полноценно проанализировать вредоносный код.
Исследователи пошли путем перебора и проверили миллионы комбинаций (т.е. имен файлов и папок), чтобы расшифровать код Gauss, но из этого ничего не вышло.
Удалось, однако, установить, что активизация вредоносного модуля происходит, когда на компьютере обнаруживается папка, первый символ имени которой взят из расширенного набора, например, арабского или еврейского алфавита. Кто-то еще сомневается, что это целевая атака?
В действиях Gauss прослеживается любопытная тенденция. Для привязывания программы к конкретному компьютеру с помощью уникального идентификатора используется кодирование на основе идентификационных данных (Identity-Based encryption, IBE).
Первыми применили такой подход создатели FlashBack — ботнета, поразившего более 500 тыс. компьютеров с Mac OSX полгода назад.
Код, который передается на компьютеры в момент заражения FlashBack из-за уязвимости Java, сам по себе не является вредоносным ПО: этот небольшой модуль предназначен для извлечения уникального идентификатора атакуемого компьютера, например, универсального уникального идентификатора (UUID) оборудования.
Уникальный идентификатор передается на командный сервер и используется там для кодирования, сжатия и маскировки полной версии, которая позднее поражает компьютер.
Подготовленную полную версию можно запустить только на компьютере с абсолютно таким же UUID, что ограничивает возможность анализа угрозы автоматическими средствами диагностики вредоносного ПО — на других компьютерах программа сразу закрывается.
Томер Теллер (Tomer Teller),
ведущий специалист Check Point Software Technologies по ИБ