Kaspersky Lab entdeckt Spionage-Tool "Gauss”
Neue Malware hat den Nahen Osten im Visier
Kaspersky Lab hat den neuen Schädling "Gauss" entdeckt. Dieser richtet sich laut den russischen Security-Spezialisten hauptsächlich gegen Anwender im Nahen Osten - vor allem im Libanon. Gauss sei eine komplexe, offenbar mit staatlichem Hintergrund finanzierte Plattform zur Cyber-Spionage. Ihr Zweck sei der Diebstahl vertraulicher Daten, vor allem von Internet-Passwörtern, Angaben zu Online-Bankkonten, Cookies und besonderer Konfigurationsdaten der infizierten Computer, so Kaspersky.
Kaspersky Lab identifiziert Bot-Trojaner auf 670.000 Computern
Kaspersky: Security soll die IT-Performance nicht schmälern
Internet-Nutzer speichern sensible Daten auf dem PC
Kasperksy: Unternehmen kämpfen mit Altlasten
Die Sicherheitsexperten fanden den Schädling im Rahmen weiterer Untersuchungen von Flame. Die International Telecommunication Union (ITU) hatte Kaspersky beauftragt, die von Cyber-Waffen ausgehenden Risiken zu untersuchen, um so zu einer friedvollen Ausrichtung des Internets beizutragen.
Die ITU will nach eigenen Angaben die Internet-Sicherheit weltweit stärken. Dazu setze man unter anderem auf die Expertise der Sicherheitsspezialisten. Zudem arbeitet die ITU mit Interessensgruppen wie Regierungen, Unternehmen, Internationalen Organisationen und Bürgergesellschaften zusammen.
Die Experten von Kaspersky Lab entdeckten Gauss aufgrund von Gemeinsamkeiten mit der Malware Flame. Die Architektur und Struktur der Module sowie Code-Basis und Kommunikation mit den Command-and-Control-Servern sei in vielen Punkten vergleichbar.
Aus der Untersuchung ergeben sich Hinweise, dass Gauss etwa seit September 2011 aktiv ist. Die Erzeuger deaktivierten die Command-and-Control-Server von Gauss im Juli 2012, kurz nachdem Kaspersky diese entdeckte. Die noch aktiven Schädlinge befinden sich daher derzeit in einer Art Schlafmodus, da von den C&C-Servern keine neuen Anweisungen mehr erfolgen.
Seit Ende Mai 2012 zeichneten die Sicherheitsexperten mehr als 2.500 Infektionen auf. So ist anzunehmen, dass die von Gauss infizierten Opfer in die Zehntausende gehen. Die Zahl der Infektionen liegt unter jener von Stuxnet, jedoch deutlich über der Zahl der Attacken durch Flame und Duqu, so Kaspersky.
Der Schädling entwendet Informationen von den infizierten PCs. Unter diesen befinden sich die Browser-Historie des Anwenders, Cookies, Passwörter und Systemeinstellungen. Zudem sei auch der Diebstahl von Zugangsdaten zum Online-Banking sowie weiteren Zahlungsarten möglich.
Gauss ist offenbar so programmiert, dass sich speziell Daten im Zusammenhang mit mehreren libanesischen Banken, darunter Bank of Beirut, EBLF, Blombank, Byblosbank, Fransabank und Credit Libanais entwenden ließen. Darüber hinaus waren auch Citibank- und Paypal-Kunden Ziel der Angriffe.
Neben dem systematischen Sammeln von Online-Banking-Daten kann der Schädling auch USB-Sticks infizieren. Dabei verwendet er dieselbe LNK-Schwachstelle wie zuvor bei Stuxnet und Flame. Gauss beherrscht allerdings noch intelligentere Funktionen. So verbirgt die Malware die gewonnene Information auf dem USB-Stick in einer versteckten Datei. Überdies installiert der Trojaner die Schriftart „Palida Narrow“, wobei die damit verbundene Absicht laut Kaspersky noch unklar ist.
Die exakte Infektionsmethode, die Gauss verwendet, ist noch nicht bekannt. Die Kaspersky-Experten gehen aber davon aus, dass sich Gauss wohl anders als Flame und Duqu ausbreitet. All diese Cyber-Waffen verbreiten sich kontrolliert mit Schwerpunkt auf Tarnung der Aktivitäten.
Kaspersky-Produkte können laut Hersteller den Trojaner entdecken, blockieren und entfernen. Er ist klassifiziert als Trojan-Spy.Win32.Gauss. Weiter Informationen gibt es unter www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution**.
Lesen Sie mehr zum Thema
