Gauss virusu

Banklardan fərdi məlumatları oğurlayan Gauss virusu Kaspersky Lab mütəxəssisləri tərəfindən 2012-ci ilin iyununda kəşf edilmişdi. Şəxsiyyətləri bilinməyən müəllifləri tərəfindən ana modula alman riyaziyyatçısı Johann Carl Friedrich Gauss-un adı verilmişdi. Digər hissələrə də Cozef-Louis Lagrange və Qurd Gödel kimi məşhur riyaziyyatçıların adları verilmişdi. Araşdırmalar Gauss-un ilk fəaliyyətinin 2011-ci il sentyabra təsadüf etdiyini sübut etdi. Gauss aşkarlandıqdan qısa bir müddət sonra 2012-ci il iyunda Gauss komanda-nəzarət serverlərinin fəaliyyəti dayandırıldı.
Gauss – kiber-casusluq həyata keçirmək üçün alətlərin mürəkkəb kompleksidir. Kompleks modul strukturuna malikdir və əlavə modullar şəklində realizə edilən yeni funksiyaları operatorlar məsafədən quraşdıra bilər. Hazırda məlum olan modullar aşağıdakı funksiyaları yerinə yetirirlər:

  • Brauzerdə cookie-faylların və parolların ələ keçirilməsi.
  • Sistemin konfiqurasiyasına aid məlumatların toplanması və bədniyyətliyə göndərilməsi.
  • USB-daşıyıcıların verilənlərin oğurlanması üçün nəzərdə tutulmuş modulla yoluxdurulması.
  • Sistem daşıyıcılarının və qovluqlarının məzmun siyahılarının yaradılması.
  • Yaxın şərqdə fəaliyyət göstərən müxtəlif bank sistemlərindəki hesablara daxil olmaq üçün lazım olan verilənlərin oğurlanması.
  • Sosial şəbəkələr, poçt servisləri və ani məlumat mübadiləsi sistemlərində məlumatların ələ keçirilməsi.

Kaspersky Lab mütəxəssisləri Gauss-u Flame üzərində edilən dərin analizlər və araşdırmalar nəticəsində əldə edilən məlumatlar nəticəsində aşkarlaya bilmişdilər. Flame və Gauss arasındakı güclü oxşarlıqlar mövcuddur. Bu ortaq xüsusiyyətlər arasında oxşar arxitektura platformaları, modul strukturları, kod bazaları və komanda-nəzarət serverləri ilə əlaqə üsulları var. Kaspersky Lab güman edir ki, Gauss virusu Flame-i yaradan qrup tərəfindən yaradılıb. (Gauss Flame ilə, Flame Stuxnet ilə, Stuxnet Duqu ilə əlaqəlidir. Beləliklə, Gauss Duqu ilə əlaqəlidir.)

Gauss dizayn baxımından Flame-ə bənzəməsinə baxmayaraq, bu iki proqramın məqsədləri və hədəf əraziləri arasında ciddi fərqlər vardır. Gauss-un məqsədi bank və maliyyə məlumatlarına xüsusi fokuslanmaqla, müəyyən ölkələrdən və çox sayda istifadəçidən böyük həcmdə məlumat oğurlamağa yönəlib.
Flame-in yoluxduğu kompüterlərin çoxu İranda idi; Gauss qurbanlarının çoxu isə Livanda aşkarlanmışdı. Gauss-un analizləri aralarında Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank və CreditLibanais-in də olduğu bir çox Livan bankından verilənləri oğurlamaq üçün hazırlandığını göstərir. Gauss, əlavə olaraq, Citibank və PayPal istifadəçilərini da hədəfləyir.
Yoluxma sayı da fərqlidir. Bulud əsaslı təhlükəsizlik sistemi Kaspersky Security Network (KSN) tərəfindən verilən məlumatlara görə, Gauss təxminən 2500 kompüteri yoluxdurmuşdu. Bu rəqəm Stuxnet ilə müqayisədə kiçikdir, ancaq Flame və Duqu hücumlarının sayından xeyli çoxdur. Müqayisə üçün, Flame ilə yoluxma sayı təxminən 700 kompüterdir.
Yoluxma metodu tam olaraq bilinmir, lakin Gauss-un Flame və Duqu-dan fərqli bir üsul istifadə etdiyi aydındır. Ancaq bu iki kiber-cinayətkarlıq silahına oxşar olaraq, Gauss-un yayılma mexanizmləri, əməliyyatın gizliliyinə önəm verən bir şəkildə işləyirlər. Gauss USB-daşıyıcılar vasitəsilə yayıla bilər.

Gauss-un arxitekturası


Digər komponentlərin idarə edilməsi funksiyalarını yerinə yetirən Gauss modulunun həcmi 200 Kb-dan bir qədər böyükdür. O, digər modulları yükləyə bilir ki, onların birlikdə həcmi təxminən 6Mb-dır.
Gauss-un modul arxitekturası Duqu-nu xatırladır: proqram hansı modulların yüklənməli olduğu məlumatları saxlamaq üçün şifrlənmiş reyestr açarından istifadə edir. O, sistemdə gizli işləməyə hesablanıb, təhlükəsizlik və monitorinq vasitələrindən yayınır və bu zaman özü sistemin detallı monitorinqini həyata keçirir. Bundan başqa, Gauss-da bir neçə Livan bankının (Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank və Credit Libanais) istifadəçiləri tərəfindən göndərilən verilənlərin monitorinqi və oğurlanması üçün nəzərdə tutulmuş 64-bitlik zərərli funksional və Firefox brauzeri ilə uyumlu plaqinlər də vardır.
Xatırlatmaq vacibdir ki, Gauss virusu USB-daşıyıcıları verilənləri oğurlamağa xidmət edən komponentlə yoluxdurur, bu komponent Stuxnet və Flame tərəfindən də istismar olunan LNK (CVE-2010-2568) boşluğundan istifadə edir. Eyni zamanda, Gauss USB-daşıyıcıları yoluxdurmaq üçün daha intellektual və effektiv proses işlədir. Gauss müəyyən şəraitdə daşıyıcını «təmizləməyi» bacarır və daşıyıcını toplanmış informasiyanı gizli faylda saxlamaq üçün istifadə edir. İnformasiyanı USB-daşıyıcıdakı gizli faylda saxlamaq üçün çox oxşar imkan Flame-də də vardır. Gauss-un daha bir maraqlı funksiyası – qeyri-standart Palida Narrow şriftinin quraşdırılmasıdır. Sistemə bu şriftin quraşdırılmasının məqsədi hələlik aydın deyil.

Mənbələr
http://frmsinsi.net/showthread.php?t=877637
https://securelist.ru/blog/spam-test/2930/gauss-gosudarstvennyj-kibershpionazh-plyus/

 Əlaqə:
 Telefon: (994 12) 5104253
 E-poçt: info at sciencecert dot az
2013 © AMEA İnformasiya Texnologiyaları İnstitutu
Saytdakı məlumatlardan istifadə edərkən www.sciencecert.az saytına istinad zəruridir.