A PTA CERT-Hungary (Nemzeti Hálózatbiztonsági Központ) nemzetközi kapcsolatrendszerén keresztül egy új, a Stuxnet „családba” tartozó káros szoftverre hívja fel a figyelmet. A jelentés szerint a ”Gauss” névre keresztelt vírus elsősorban banki és egyéb hozzáférési adatokat gyűjt a fertőzött rendszerből, majd továbbítja azokat a Command and Control (C&C) szerverek felé. Egy biztonsági cég szerint a Gauss jelenleg elsősorban Libanonban, Izraelben és a Palesztin területeken aktív, de az Egyesült Államokból is jelentettek fertőzést. A káros szoftverről készült első elemzések és jelentések szerint nincs bizonyíték arra, hogy ipari vezérlő rendszereket (ICS) vagy az Egyesült Államok kormányügynökségeit célozná. A Kaspersky Lab által összegyűjtött információ szerint a Gauss különböző modulokat használ és a következő funkcionalitásokkal bír:
-
a moduljait beilleszti különböző böngészőkbe, hogy lehallgassa a felhasználó munkamenetét, valamint, hogy onnan ellopja a tárolt jelszavakat, sütiket valamint a böngésző előzményeket;
-
adatokat gyűjt a :
-
fertőzött számítógép hálózati kapcsolatairól;
-
a futó folyamatokról és a mappákról;
-
BIOS-ról és a CMOS RAM-ról;
-
helyi-, a hálózati- és a hordozható adattárolókról;
-
-
megfertőzi a hordozható adattárolókat egy információ gyűjtő modullal, hogy más számítógépekről is adatokat gyűjthessen;
-
telepít egy egyedi ”Palida Narrow” betűkészletet (ennek oka jelenleg ismeretlen);
-
biztosítja a eszközcsomag betöltését és működését, valamint a Command and Conrol (C&C) szerverekkel történő kommunikációt, a begyűjtött adatok továbbítása és az újabb modulok letöltése érdekében.
A káros szoftver elemzése során a szakemberek számos hasonlóságot fedeztek fel a Gauss és a Duqu, a Flame valamint a Stuxnet férgek között. Az hordozható adattárolókat érintő információ gyűjtő modul a Microsoft egy ismert, a .LNK kiterjesztésű fájlokat érintő sérülékenységét használja ki, amelyet a Stuxnet is használt. A sérülékenységről bővebb információ a következő linken olvasható: http://tech.cert-hungary.hu/vulnerabilities/CH-3355.
A jelentések szerint a hordozható adattárolókat fertőző információgyűjtő modul tartalmaz egy titkosított ”payload”-ot is, amely funkciója egyelőre ismeretlen.
Kockázatcsökkentés
Jelenleg nincs kidolgozott kockázatcsökkentő módszer, bár a Kasperksy jelentése számos támpontot ad. A PTA CERT-Hungary (Nemzeti Hálózatbiztonsági Központ) a kockázatok csökkentése érdekében a következőket javasolja:
-
Legyenek körültekintőek a hordozható adattárolók használatával, hogy meggátolják a Gauss terjedését.
-
Telepítsék a Windows frissítéseket CVE-2010-2568 sérülékenység javítására (http://tech.cert-hungary.hu/vulnerabilities/CH-3355).
-
Frissítsék az víruskereső szoftverek vírusdefiníciós adatbázisát, hogy azok felismerjék a Gauss-t.
-
Minimalizálják a vezérlő rendszerek hálózati kommunikációját, valamint ne kapcsolja azokat közvetlenül az Internetre.
-
Helyezze a vezérlő rendszerekhez tartozó hálózatai és távoli eszközöket tűzfal mögé és különítse el azokat a vállalati hálózattól.
-
Ahol távoli hozzáférés szükséges, használjon biztonságos módszereket, mint például a virtuális magánhálózatokat (VPN).