Computerworld News Service: Kaspersky Lab efterspørger hjælp fra kryptografer i verdensklasse til at knække krypteringen af den stadig gådefulde last, der leveres af spionage-malwaren Gauss.
"Vi inviterer enhver med interesse i kryptologi og matematik til at deltage sammen med os i arbejdet med at løse mysteriet og udforske de skjulte data," skriver sikkerhedsleverandøren i et blogindlæg.
Ukendt payload
Dens såkaldte payload er en af de mange ukendte faktorer i forbindelse med det avancerede spionage-værktøj Gauss, som Kaspersky opdagede i sidste uge.
Gauss overvåger ifølge sikkerhedseksperterne finansielle transaktioner med mellemøstlige banker og er udviklet eller sponsoreret af en eller flere nationalstater.
Selvom Kaspersky er kommet frem til, at lasten leveres via USB-flashdrev - for at kunne trænge ind i computere, der ikke er tilsluttet internettet - så er selskabet stødt på en mur i forsøget på at afkode modulet, der er krypteret med RC4.
RC4, der blev udviklet af RSA Security for 25 år siden, bruges også i SSL (secure socket layer) til at kryptere kommunikation mellem websites og browsere.
Genereres dynamisk
Kaspersky bemærker, at lastens krypteringsnøgle genereres dynamisk af den pc, der er malwarens mål.
"Det forhindrer alle andre end det (eller de) udvalgte mål i at læse indholdet i disse sektioner," oplyser Kaspersky.
"Det kan i praksis ikke lade sig gøre at knække krypteringen med et simpelt brute force-angreb."
Da Gauss er blevet sat i forbindelse med Flame, der er et andet spionage-værktøj målrettet iranske pc'er, og da de fleste eksperter er enige om, at Flame er tilknyttet Stuxnet - den orm, der blev opdaget i 2010, som saboterede Irans atomprogram - spekulerer Kaspersky over, om Gauss' krypterede last måske indeholder Stuxnet-lignende kode, der er designet til at angribe såkaldte SCADA-systemer (supervisory control and data acquisition).
SCADA-systemer er en form for industrielle kontrolsystemer, der bruges til at overvåge og styre afgørende industrielle processer i alt lige fra olieraffinaderier og fabrikker til elnet og gasrørledninger.
"Ressourcesektionen (af malwarens krypterede last, red.) er stor nok til at indeholde Stuxnet-lignende SCADA-målrettet angrebskode og alle de foranstaltninger, ophavsmændene gør brug af, tyder netop på, at målet er højt profileret," vurderer Kaspersky.
Sikkerhedsleverandøren har tidligere fremlagt andre ligheder mellem Gauss og Stuxnet heriblandt anvendelsen af nu rettede sårbarheder i forbindelse med genveje i Windows samt udnyttelsen af USB-drev til at levere angrebskoden til pc'er, der er isoleret fra internettet.
I blogindlægget gengiver Kaspersky de første 32 byte af de krypterede data og hashe fra malwarens mystiske last.
"Hvis du er kryptograf i verdensklasse eller hvis du på anden måde kan hjælpe os med afkodning, så kontakt os venligst per e-mail: theflame@kaspersky.com," skiver Kaspersky.
Selskabet oplyser også, at det på anmodning vil udlevere flere krypterede data.
Oversat af Thomas Bøndergaard
