جاسوس افزار Gauss، عضو جدیدی از خانواده Flame

براساس اطلاعیه های منتشر شده از سوی شرکت ها و مراکز امنیتی، یک جاسوس افزار جدید که عمدتاً در منطقه خاورمیانه فعال می باشد، به تازگی شناسایی شده است. شواهد اولیه نشان می دهد که ساختار و عملکرد این جاسوس افزار مشابه ویروس های مشهور اخیر (stuxnet و Flame) که در حملات سایبری علیه ارگان دولتی کشور دخالت داشتند، می باشد.

طبق هشدار امنیتی شرکت McAfee، این بدافزار مانند ویروس های Stuxnet و Flame از بخش های مستقلی تشکیل شده که در کنار همدیگر، به صورت یکپارپه عمل می کنند. هر بخش مسئولیت و عملکرد خاصی را بر عهده دارد. در نامگذاری هر یک از بخش های این بدافزار از نام ریاضیدانان مشهور دنیا استفاده شده و بخش اصلی بدافزار دارای نام Gauss (ریاضیدان و فیزیکدان مشهور آلمانی) است.

برخی از بخش های بدافزار Gauss که مورد بررسی و تحلیل کارشناسان شرکت McAfee قرار گرفته نشان می دهند که دارای قابلیت هایی نظیر افزودن برنامه های جانبی (Plug-in) به مرورگرها، آلوده سازی حافظه های USB و اجرای دستورات Java و Active X هستند.

بر اساس اطلاعیه شرکت McAfee، هدف اصلی بدافزار Gauss جمع آوری مشخصات سیستم، مشخصات کارت شبکه و BIOS، مجوزهای پست الکترونیکی، مجوزهای سایت های اجتماعی و مجوزهای دسترسی به سیستم های بانکداری الکترونیکی است. جمع آوری هر یک از این اطلاعات نیز بر عهده بخش های مختلف بدافزار Gauss است.

بدافزار Gauss برای رسیدن به اهداف مورد نظر، مانند ویروس های هم خانواده قبلی خود، از نقاط ضعف سیستم عامل و نرم افزارهای کاربردی سوء استفاده می کند. در حال حاضر، مشخص گردیده که این بدافزار از یک نقطه ضعف قدیمی (CVE-2010-2568) که ویروس Stuxnet برای اولین بار آن را جهت آلوده کردن حافظه های USB Flash به کار برد، استفاده می کند. البته بدافزار جدید Gauss این قابلیت را هم دارد که تحت شرایط خاص، حافظه های USB را که قبلا آلوده کرده، پاکسازی نماید و از آنها برای نقل و انتقال اطلاعات جمع آوری شده از سیستم هایی که به اینترنت دسترسی ندارند تا مستقیما با مرکز فرماندهی Gauss ارتباط برقرار کنند، استفاده کند.

این عمل می تواند نشان دهنده این باشد که بدافزار Gauss به دنبال سیستم های مهم و حساسی است که اغلب به روز نمی شوند. نقطه ضعف مورد بحث، دو سال قبل پس از کشف ویروس Stuxnet به طور اضطراری توسط شرکت مایکروسافت ترمیم و اصلاح شد. ولی سیستم های مهمی که امکان توقف و راه اندازی مجدد (Reboot) آن وجود ندارد و یا به اینترنت متصل نیستند تا از این طریق مورد حمله و آسیب قرار گیرند، احتمالاً هنوز فاقد این اصلاحیه مایکروسافت می باشند و همچنان نسبت به این نقطه ضعف آسیب پذیر هستند.

همچنین مشاهده شده است که بدافزار Gauss بر روی سیستم هایی که آلوده می کند، یک فونت اختصاصی به نام palida Narrow قرار می دهد. هنوز به طور یقین مشخص نشده که هدف بدافزار Gauss از قرار دادن این فونت بر روی سیستم های آلوده چیست، ولی این احتمال وجود دارد که این بدافزار با استفاده از این فونت به دنبال سوء استفاده از یک نقطه ضعف جدید و ناشناخته در نرم افزار Office باشد.

کارشناسان شرکت ضد ویروس Kaspersky هم معتقد هستند که هدف اصلی بدافزار Gauss کنترل عملیات بانکی در بانک های خاورمیانه جهت جمع آوری اطلاعات از نقل و انتقالات مالی مرتبط با برخی گروه های سیاسی و نظامی منطقه است. طبق اعلام Kaspersky، بدافزار Gauss قابلیت تشخیص و کنترل حساب های بانکی در بانک های Bank of Beirut، FBLF، Bloom Bank، Byblos Bank، Fransa Bank و Credit lebanais را دارد. همچنین مشاهده شده که عملیات کاربران ساکن در خاورمیانه در سایت های بانک Citibank و سایت مالی PayPal نیز تحت نظر این بدافزار قرار داشته اند.

میزان آلودگی به بدافزار Gauss چندان مشخص نیست ولی تصور نمی شود که گسترده باشد. برخی آمارهای آلودگی به چند صد تا چند هزار سهم سیستم آلوده اشاره می کنند اغلب این سیستم های آلوده در کشور لبنان، حکومت مستقل فلسطین و اسرائیل شناسایی شده اند. تاکنون هیچ گزارشی از آلوده به ویروس Gauss در ایران دریافت نشده است.

طبق اعلام برخی مراکز و شرکت های امنیتی، ویروس Gauss دو ماه قبل برای اولین بار مشاهده گردید ولی قبل از آنکه عملکرد و رفتار آن مورد بررسی و تحقیق قرار گیرد، با از کار افتادن مرکز فرماندهی Gauss، فعالیت بدافزار نیز متوقف گردید. در حال حاضر نیز بدافزار Gauss غیرفعال می باشد و بدون ارتباط با مرکز فرماندهی، هیچ عملیاتی را انجام نمی دهد. البته بر اساس برخی مدارک و شواهد، تعدادی از کارشناسان امنیتی معتقدند که این بدافزار از یک سال قبل فعال بوده است.

شرکت ها و مراکز امنیتی مختلف در حال انتشار هشدارها و ابزارهای شناسایی و پاکسازی بدافزار Gauss هستند. اطلاعات مربوط به این هشدارها را می توانید در این خبر مطالعه کنید. 

اطلاعات تکمیلی درباره این بدافزار در همین جا منتشر خواهد گردید.