گاووس یک تهدید سایبری است که در ابتدا برای مانیتور کردن حسابهای بانکی انلاین طراحی شده و همانطور که بیان شد اغلب کاربران مبتلا شده به این بد افزار در خاور میانه هستند، روش گسترش این بدافزار هنوز مشخص نیست. طبق گفته های متخصصین کسپر اسکای این بدافزار ساختار پیچیده ای دارد که مطمئنا یک دولت – ملت پشتیبانی این ابزار جاسوسی سایبری را بر عهده دارد چراکه شباهتهای زیادی با بد افزار Flame دارد.

عصر ایران؛امیر علوی - طبق انتظار کارشناسان یک بد افزار جدید دیگر به منظور انجام عملیات جاسوسی سایبری توسط تیم تحقیقاتی کسپر اسکی شناسایی شد. بعد از بد افزارهای Dugu , Flame و Madi این ابزار جاسوسی سایبری نیز در منطقه خاورمیانه مشاهده شد و مانند نمونه های مشابه قبلی قادر است داده های حساسی را نظیر اعتبارهای بانکی انلاین و رمز ورود جستجوگر ها و تنظیمات حساس سیستم را شناسایی و سرقت نماید.

نام این بد افزار از نام ریاضی دان آلمانی یوهان کارل فردریچ گاووس گرفته شده و نکته جالب اینست که ظاهرا این بدافزار با Stuxnet لینک شده و متخصصان معتفدند Gauss هم توسط همان کارخانه تولید کننده Stuxnet تولید شده است. Gauss در خلال بازرسی انجمن بین المللی ارتباطات (ITU) به منظور کاهش ریسک های تحمیلی از ناحیه تهدیدات سایبری کشف شد. نگاه به جزئیات ساختار این بد افزار نشان میدهد که ماژولهای بسیاری هستند که با نامهای ریاضی دانان و فلاسفه مشهوری چون کورت گودل، جان کارل فردریچ گاووس و جوزف لوئیس لاگرانژ نام گذاری شده و ماژول مرکزی که فرایند سرقت اطلاعات را انجام میدهد به اسم گاووس نامگذاری شده است.

نام ماژول	وظیفه ماژول
Cosmos	جمع آوری اطلاعات درباره CMOS و BIOS
Kurt, Godel	آلوده کردن درایور های USB به همراه ماژول سرقت داده ها
Tailor	جمع آوری اطلاعاتی درباره رابطهای شبکه
McDomain	جمع آوری اطلاعاتی درباره دامنه کاربرها
UsbDir	جمع آوری اطلاعاتی درباره درایو های رایانه
Lagrange	نصب فونت "Palida Narrow”
Gauss	نصب پلاگینهای مرورگر که کوکی ها و اسامی رمز را جمع آوری میکنند
ShellHW	بارگذاری اصلی و ماژول ارتباطی

Figure 1- ماژولهای بدافزار و نحوه تاثیر گذاری در سیستم قربانی

گاووس به لطف تحقیقاتی که برای شناسایی بدافزار Flame صورت گرفته بود کشف شد، مطابق بازرسی های صورت گرفته گاووس در سپتامبر سال 2011 گسترش یافته و در ماه ژوئن 2012 شناسایی شد و در ماه جولای فرماندهی و کنترل زیرساختها توسط این نرم افزار بسته شده است. نکته جالب در این میان کشف بد افزار Dugu در یک آزمایشگاه Crysys در کشور مجارستان در همین بازه زمانیست. محققان کسپر اسکای می گویند:

دقیقا نمی دانیم که افرادی که بد افزار Durgu را طراحی کردند در آن زمان به سراغ Gauss رفتند یا نه اما تقریبا مطمئن هستیم که آنها با هم در ارتباطند. Gauss ارتباط نزدیکی با Flame دارد، Flame با Stuxnet مرتبط است و Stuxnet نیز رابطه تنگاتنگی با Dugu دارد. بنابر این Gauss هم با Dugu مرتبط است.

Figure 2- رابطه فنی میان بدافزارهای مختلف جاسوسی

کارشناسان شرکت کسپراسکی اطلاعات اشکال زدایی شده در چند نمونه کشفی جزئیاتی را در مسیری که پروژه ها در آن ذخیره میشوند یافته اند که بر این واقعیت دلالت دارد که هدف اصلی حملات کشور لبنان بوده است چراکه اولا نرخ بسیار بالایی از ابتلا به این بد افزار در این کشور مشاهده شده ( بیش از 1600 قربانی) و در ثانی وجود عبارت " سفید" (White) در کد داده های اشکال زدایی شده است چراکه نام کشور لبنان از ریشه سامی لبن به معنای سفید (احتمالا به دلیل کوههای پوشیده از برف) گرفته شده است.

مسیر ذخیره سازی بد افزار	انواع مختلف
d:\projects\gauss	August 2011
d:\projects\gauss_for_macis_2	October 2011
c:\documents and settings\flamer\desktop\gauss_white_1	Dec 2011-Jan 2012

بسته شدن موقتی فرماندهی و کنترل بد افزار گاووس به این معنی نیست که به طور قطعی این بدافزار از بین رفته بلکه به نظر میرسد به خواب کوتاهی فرو رفته و منتظر است تا سرورش مجددا فعال شود.

گاووس چیست و اهداف اصلی اش کدامست؟

ماژول Winshell در بدافزار Gauss سرقت اعتبارنامه برای ایجاد دسترسی به فرایندهای بانکی آنلاین را انجام میدهد حسابهایی از چندین بانک لبنانی نظیر بانک بیروت، بیبلوس و فرانسابانک از جمله آن حسابهای مبتلا شده هستند. لازم به ذکر است که این نخستین تروجانی است که با پشتیبانی یک دولت – ملت برای فعالیتهای بانکی و عمومی طراحی شده است.

Figure 3 - میزان ابتلا در کشورهای مختلف

سیستم امنیتی ابر پایه در آزمایشگاههای کسپر اسکای این بدافزار را اواخر مه 2012 کشف کرده اند، بیش از 2500 سیستم آلوده شده نشان از این واقعیت داشت که احتمالا ده ها هزار قربانی در حال الوده شدن هستند که در سطحی پایین تر از انتشار بد افزار Stuxnet اما بیشتر از تعداد حملات در Flame و Duguاست

نام بد افزار	حوادث مشاهده شده توسط آزمایشگاه کسپراسکی	تعداد کل حوادث به شکل تقریبی
Stuxnet	100 000 بیش از	300 000 بیش از
Gauss	~ 2500	نا مشخص
Flame	~ 700	~5000-6000
Duqu	~20	~50-60

Gaussداده های قربانی را با نیت ارسال به تیم حمله کننده جمع اوری می کند این داده های جمع اوری شده میتوانند اطلاعات رابطهای شبکه، مشخصات BIOS و جزئیات درایو رایانه ها باشد. همچنین این بد افزار نیز Stuxnet و Flame با بهره برداری از ضعف (CVE-2012-2568) با سرقت داده ها از طریق اتصال USB موجب آلودگی سیستم قربانی میشود.

در همان زمان فرایند آلوده سازی اتصال USB هوشیارانه تر و موثرتر اتفاق می افتد چراکه Gauss قادر است درایو را در موقعیت های خواص ضد عفونی کند و از رسانه حذف شدنی برای ذخیره اطلاعات جمع اوری شده در یک فایل مخفی استفاده کند. این توانایی در جمع آوری اطلاعات در یک فایل مخفی در درایو های USB بخوبی در بد افزار Flame هم تعبیه شده بود.

کشف بد افزار Gauss این اجازه را به متخصصان میدهد تا باور کنند که در حال حاضر بدافزارهای فراوان دیگری در جاسوسی سایبری وجود دارد که واقعا عملیاتی هستند و بسیاری دیگر در آینده نزدیک توسعه خواهند یافت و این نشانیست از شروع یک جنگ واقعی در سرقت اطلاعات حساس در سکوت و در بازه زمانی بلند. اگرچه هنوز برخی از کارشناسان این شیوه را به عنوان یک سلاح سایبری جنگی نمیشناسند ولی به واقع روز به روز کاربرد این بد افزار ها در عملیات نظامی از قبیل جاسوسی و یا انجام حملات موثر غیر قابل جایگزین با هر متد دیگری میشود. البته بسیاری از کارشناسان منکر توسعه جنبه های ماژولی و کسب ماژولهای تکمیلی میشوند که قادر است در اینده هدایت عملیات جنگی علیه زیرساختهای حیاتی و مراکز اطلاعاتی فوق سری را بدست بگیرند ولی همانطور که توسط تیم کارشناسان شرکت کسپراسکی مطرح شده است: " تنشهای موجود در خاورمیانه تنها نشانه هایی از شدت این تکنولوژی در جنگهای سایبری و جاسوسی سایبری در حال گسترش است."

منابع:

http://www.kaspersky.com/about/news/virus/2012/Kaspersky_Lab_and_ITU_Discover_Gauss_A_New_Complex_Cyber_Threat_Designed_to_Monitor_Online_Banking_Accounts

http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution

http://www.wired.com/threatlevel/2012/08/gauss-espionage-tool/

کانال عصر ایران در تلگرام

تماشاخانه