Новое оружие ближневосточной кибервойны: троянца под названием Gauss обнаружили эксперты из "Лаборатории Касперского". Вирус устанавливается на машины под Windows и целенаправленно занимается кражей финансовых данных: номеров банковских карт, паролей к системам интернет-банкинга и данных по транзакциям. Что интересно, собственно, деньги вирус не крадет, только информацию о счетах. На данный момент вредоносная программа действует уже почти год, и заражено ею, только по данным "Лаборатории Касперского", около 2,5 тысячи компьютеров. Большинство — в Ливане. Очевидно, целью инициаторов вируса были сотрудники крупнейших банков страны.
"В нем существует специальный модуль, который занимается целенаправленной кражей аккаунтов доступа к системам банкинга ливанских банков. Ливанские банки носят репутацию таких ближневосточных, по сути дела, швейцарских банков. Не разглашают никому информацию о своих клиентах. И действительно, очень многие сомнительные организации, видимо, используют эти банки для хранения своих денег", — рассказал Александр Гостев, главный антивирусный эксперт "Лаборатории Касперского".
Изучив природу вируса, в "Лаборатории Касперского" пришли к интересным выводам. Gauss — родственник троянца Flame, сложной программы, созданной для похищения личной информации пользователя, от почтовой переписки до паролей к банковским картам. Flame был обезврежен еще в начале лета, и полученная о нем информация помогла выйти и на Gauss. У двух троянцев, как отмечают эксперты, очень похожий дизайн, одинаковые структура модулей, кодовая база и средства связи с серверами управления. Все это позволяет сделать выводы о том, кто может стоять за созданием вирусов.
"Несомненно, за этими вещами стоит какое-либо правительство, какое-то государство мира, которое создает подобные угрозы. Дело в том, что у нас нет четких доказательств причастности какого-либо государства. У нас есть, опять же, догадки, предположения, но поскольку у нас нет вот этих четких фактов, мы, к сожалению, не можем обвинять какое-либо конкретное государство в создании подобных угроз", — сообщил Александр Гостев.
О том, что вирус сделан при поддержке крупного государства, говорит его высокая стоимость и сложность: такая, что даже эксперты из "Лаборатории Касперского", сумев заблокировать вирус, изучить его до конца так и не смогли. Например, способ распространения вируса до сих пор загадка.
"Мы видим порядка двух с половиной тысяч зараженных пользователей, это только по нашим данным, в реальности, я думаю, эта цифра гораздо, гораздо больше, возможно, как минимум 10 тысяч пострадавших от него. Распространялся он примерно с сентября прошлого года, и такое большое число заражений должно свидетельствовать о наличии некоего функционала червя, то есть, способности самораспространяться. Но во всех модулях Gauss, которые мы обнаружили и исследовали, подобного функционала нет", — объяснил главный антивирусный эксперт "Лаборатории Касперского".
Сделав свое грязное дело и отправив украденные данные своим создателям, Gauss самоуничтожался. Где и когда всплывут полученные сведения, остается тайной.
Это уже четвертый вирус, авторство которого приписывают госструктурам. До этого на том же Ближнем Востоке были обнаружены и обезврежены троянцы Stuxnet, созданный с целью саботажа иранской ядерной программы, а также Flame и Duqu, направленные на хищение личных данных влиятельных лиц ближневосточных "стран-изгоев". До недавнего времени сетевое противостояние велось в основном "в одни ворота", но в конце июля в "Лаборатории Касперского" заявили об обнаружении первого ответного удара — вируса Madi. Этот весьма примитивный троянец запускал щупальца в личные данные пользователя на Gmail, Facebook (запрещена в РФ), Skype, кроме того, вирус мог включать и выключать микрофон, записывая разговоры жертвы, фиксировать нажатия клавиш и многое другое. За несколько месяцев Madi успел заразить более 800 компьютеров, причем большинство из них — в Израиле.
