I sidste uge meldte Kaspersky Lab om fundet af trojaneren Gauss, som menes at være i familie med Flame-virussen. Den nye trojaner er et avanceret spionage-toolkit designet til at stjæle følsomme data - med særligt fokus på passwords og netbank-oplysninger. Det anslås, at titusindvis af brugere primært i Mellemøsten er berørt af angrebene.
Kaspersky Lab har analyseret trojanerens funktioner, arkitektur og kommunikations-metoder, men der er stadig en lang række ubesvarede spørgsmål. Et af de mest interessante er mysteriet omkring Gauss' krypterede payload.
Nu inviterer Kaspersky Lab alle med interesse for kryptografi, reverse engineering eller matematik til at hjælpe med at finde dekrypteringsnøglen og afsløre Gauss skjulte payload.
Kaspersky's eksperter har ikke selv været i stand til at knække krypteringen, og derfor er man meget interesseret i at finde ud af, om den krypterede payload indeholder hidtil ukendte angrebsrutiner.
Det kan også løse gåden om, hvad formålet med Gauss egentlig er.
Kan være statsudviklet
Kaspersky Lab fortæller, at der er mange ligheder med Flame, som blev opdaget tidligere i år. Gauss og Flame bruger de samme arkitektoniske platforme, modul-strukturer, kodebaser og måde at kommunikere med command & control-servere.
Flame bliver beskrevet som det mest avancerede malware, der nogensinde er udviklet, og Kaspersky Lab mener at have beviser for, at der har været et samarbejde mellem udviklerne af Stuxnet og Flame.
Dermed er der også stærke indikationer for, at Flame er en stats-udviklet virus. Det menes, at Stuxnet er udviklet af USA og Israel for at ramme det iranske atomprogram. En bog har afsløret, at præsident Barack Obama personligt gav ordre til at Stuxnet-angrebet mod Iran.
Det tyder altså på, at Gauss også er udviklet af en nationalstat. Men den opfører sig ikke som et traditionelt cybervåben. Det ligner mere et værktøj til økonomisk kriminalitet.
En analyse af Gauss viser, at malwaren er designet til at stjæle data fra flere libanesiske banker, herunder Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank og Credit Libanais. Desuden har der været angreb mod brugere af Citibank og PayPal.
Gauss stjæler detaljerede oplysninger fra de inficerede pc'er, herunder browser-historik, cookies, passwords og systemkonfigurationer. Den er også i stand til at stjæle adgangskoderne til en lang række netbank-systemer og andre former for betalingstjenester.
Kaspersky anslår, at Gauss begyndte at operere i september 2011, men den blev først opdaget i juni 2012. Gauss' kommando-infrastruktur blev lukket ned i juli 2012 kort efter opdagelsen. I øjeblikket befinder malwaren sig i en slags dvaletilstand, mens den venter på, at dens servere atter bliver aktive.
