Inicio > Ciberguerra, Malware, Noticias > #Gauss, otro malware para la #ciberguerra patrocinada por gobiernos

#Gauss, otro malware para la #ciberguerra patrocinada por gobiernos

agosto 15, 2012 Deja un comentario Go to comments

Los investigadores han descubierto una nueva operación patrocinada por el estado para realizar espionaje informático. «Gauss», como lo han bautizado los investigadores de Kaspersky Lab es un malware, creado en la misma «fábrica» responsable del gusano Stuxnet, Duqu y Flame.

Los investigadores de Kaspersky descubrieron Gauss en julio en el curso de participar en una investigación iniciada por International Telecommunication Union para «mitigar los riesgos que plantean las nuevas amenazas cibernéticas, y garantizar la ciber-paz».
Se calcula que Gauss ha infectado al menos 2.500 computadoras (según el sistema de estadísticas en la nube de Kaspersky), estando la mayor concentración de ataques en el Líbano, Israel y territorios palestinos.

«El descubrimiento de Gauss indica que probablemente hay muchos otros ataques relacionados con ciber-espionaje», dijeron los investigadores de Kaspersky en un informe de 48 páginas publicado hoy jueves [PDF] (resúmen en el blog de Kaspersky y Crysys)

Al igual que Duqu y Flame, Gauss es altamente modular, y que comparte código ese último. Sus desarrolladores no han eliminado la información de depuración antes de publicar el malware, lo que permite a descubrir algunos detalles acerca de los sistemas utilizados para desarrollar el software malicioso: las distintas versiones fueron desarrolladas en agosto y diciembre pasado y en enero de este año y reside en el directorio de Windows: c:\documents and settings\flamer\desktop\gauss_white_1.

Gauss y Flame también comparten un comando similar, así como la infraestructura de control, las referencias en su código, y las subrutinas de cifrado. Gauss, que parece ser un homenaje al matemático y científico alemán Johann Carl Friedrich Gauss, proviene del nombre que los desarrolladores dieron al módulo principal del malware, si bien se han encontrado otros módulos con nombre de famosos matemáticos y filósofos como Kurt Gödel y Joseph-Louis Lagrange y Brook Taylor.

Uno de los componente de Gauss que infecta dispositivos USB, explota la misma vulnerabilidad de Microsoft Windows MS10-046 que se utilizó para difundir Stuxnet y Flame, si bien Microsoft ya ha parcheado el fallo que afecta los archivos con extensiones. LNK hace dos años.

Algunas particularidades adicionales de la arquitectura de Gauss son:

  • Uno de los módulos de cifrado que utiliza el algoritmo RC4 no ha podido ser obtenido por los investigadores, por lo que se ha solicitado la ayuda internacional para hacerlo.
  • Gauss intenta robar y controlar los datos de los clientes de Citibank, de PayPal y de varios bancos libaneses y sería el primero de la «familia» en hacerlo.
  • Recoge el historial de navegación y las cookies de decenas de sitios populares como Paypal, Mastercard, Visa, American Express, Yahoo!, Amazon, Facebook, Gmail, Hotmail, Ebay, entre otros.
  • Está programado para recoger detalles técnicos sobre los sistemas infectados, red, procesos, carpetas, BIOS, CMOS, RAM, unidades locales y extraíbles.
  • Está configurado para enviar los datos a cinco servidores C&C que fueron registrados con nombres falsos y cerrados el mes pasado, antes que Kaspersky pudiera infiltrarse. Eso significa que Gauss se encuentra en un estado latente, esperando el momento en que los servidores se activen nuevamente.
  • Los servidores implementan una arquitectura de Round-robin DNS que permite distribuir las cargas de trabajo entre diferentes servidores web. Su uso indica que la red puede haber sido diseñada para procesar grandes cantidades de tráfico de decenas de miles de víctimas.
  • Todavía no se ha encontrado ningún gusano con autopropagación con las capacidades de Gauss, lo cual podría indicar una característica de difusión lenta.
  • No hay evidencia de que Gauss utilice los mecanismos de Flame para actualizarse, con certificados de Microsoft y claves MD5 débiles.
  • Uno de los módulos se encarga de desactivar o eliminar cualquier tipo de herramienta de seguridad que pueda estar ejecutando el usuario.
  • El malware instala una fuente llamada Palida Narrow con aviso falso de Copyright. Nadie sabe para qué lo hace pero al parecer algunos documentos son modificados para utilizar esa fuente.

Por su parte Crysys ya ha publicado una herramienta para verificar si los usuarios se encuentran infectados con Gauss, a partir de la detección de la fuente Palida Narrow.

Autor: Cristian

Fuente: Segu-Info

Categorías: Ciberguerra, Malware, Noticias Etiquetas: , ,
  1. No hay comentarios aún.
  1. No trackbacks yet.

Deja un comentario