Bank-trojaner knyttes til Stuxnet

Nytt kybervåpen med mystisk «stridshode».

Forskere har identifisert et sofistikert datavirus, det fjerde i rekken, som målrettet angriper datamaskiner i Midtøsten, og som de mener må være utviklet av en statsmakt.

Skadevaren er døpt «Gauss» etter funn i kildekoden som henviser til flere berømte filosofer og matematikere, deriblant den genierklærte tyske matematikeren Carl Friedrich Gauss (1777 - 1855).

Gauss er en Windows-trojaner som Kaspersky setter i klar sammenheng med forgjengere som Stuxnet, Duqu og Flame, og som skal være utviklet av samme miljø.

- Dette er et avansert kyberspionasjeverktøy som er skapt av de samme aktørene som sto bak Flame-plattformen, slår Kaspersky fast i sin kunngjøring.

Bank-trojaner

Foreløpige funn viser at Gauss er utformet for å tappe store mengder tekniske detaljer fra infiserte datamaskiner, samt stjele informasjonskapsler (cookies) og innloggingsdata til nettbanker, sosiale nettverk, e-post og lynmeldingsklienter.

Kildekoden til det antatt USA-utviklede Flame-viruset (t.v.) skal ha en rekke likheter med Gauss (t.h)
Kildekoden til det antatt USA-utviklede Flame-viruset (t.v.) skal ha en rekke likheter med Gauss (t.h) Bilde: Kaspersky

Angriper Libanon

I alt har selskapet funnet rundt 2.500 unike infiserte maskiner. Libanon er særlig rammet, men skadevaren skal være utbredt også i Israel samt i palestinske områder.

Angrepet synes å være skreddersydd en rekke navngitte bankaktører, inkludert noen av Libanons største banker – Bank of Beirut, Blom Bank, Byblos Bank og Credit Libanais, men også internasjonale giganter som Citibank og nettbetalingstjenesten PayPal.

- Vi har aldri før sett skadevare rettet mot et så bestemt utvalg av banker. Normalt går nettkriminelle etter så mange banker som mulig for å maksimere økonomisk profitt. Dette er en veldig målrettet spionkampanje mot bestemte brukere av nettbanksystemer, sier Kasperskys forskningssjef Costin Raiu, ifølge New York Times.

Avisen viser til bekymring fra amerikanske myndigheter om at banker i Libanon skal være brukt brukt for å hvitvaske eller kanalisere penger til Syria og den libanesiske militsgruppen Hizbollah.

Ukjent «stridshode»

Kaspersky mener Gauss kan ha blitt utviklet i midten av 2011 og tatt i bruk for første gang i månedsskiftet august-september i fjor.

Det gjenstår imidlertid mye etterforskning for å komme til bunns i dens mange egenskaper.

- Gauss inneholder et ukjent «stridshode» (warhead). Foruten å stjele ulike data fra infiserte Windows-maskiner, inkluderer det en ukjent kryptert nyttelast, som blir aktivert på visse systemspesifikke konfigurasjoner, oppgir det russiske antivirusselskapet i sin redegjørelse.

Kaspersky har analysert trojaneren de siste to månedene, foreløpig uten å kunne avgjøre hvordan den sprer seg. Det skal være på det rene at Gauss kan spres via infiserte minnepinner, en egenskap den deler med Flame, men utover det har ikke forskerne kommet til bunns i spredningsmetoden eller -metodene.

- Akkurat som med Flame, er vi fortsatt usikre på hvordan ofrene har blitt smittet med Gauss. Kanskje er mekanismen den samme, skriver Kaspersky.

Den nyoppdagede trojaneren installerer også en skrifttype kalt «Palida Narrow» på infiserte maskiner. Hvorfor den gjør det er foreløpig også et mysterium.

    Les også:

Til toppen