14 sierpnia 2012

Kaspersky Lab zwraca się o pomoc w rozwiązaniu tajemnicy zaszyfrowanego bloku danych Gaussa

Firma Kaspersky Lab niedawno ogłosiła odkrycie Gaussa, złożonego narzędzia do cyberszpiegostwa. Gauss posiada wiele możliwości wykradania informacji, w szczególności haseł przeglądarek, danych pozwalających na dostęp do kont bankowych online oraz konfiguracji zainfekowanych maszyn. Eksperci z Kaspersky Lab odkryli cyberzagrożenie Gauss, identyfikując wspólne cechy łączące ten szkodliwy program z inną cyberbronią - Flame. Od końca maja 2012 roku system ochrony “w chmurze” firmy Kaspersky Lab wykrył ponad 2 500 infekcji, z czego większość zainfekowanych maszyn znajdowało się na Bliskim Wschodzie.


Eksperci z Kaspersky Lab dokonali szczegółowej analizy Gaussa i poznali architekturę zagrożenia, unikatowe moduły, metody komunikacji, a także statystyki infekcji. Jednak nadal pozostaje kilka niewyjaśnionych kwestii oraz pytań bez odpowiedzi. Jeden z najbardziej zagadkowych aspektów wiąże się z zaszyfrowanym blokiem danych Gaussa.

Blok ten znajduje się w modułach Gaussa odpowiedzialnych za kradzież danych z nośników danych podłączanych przez port USB i jest zaprojektowany do atakowania konkretnego systemu (lub systemów) z zainstalowanymi określonymi programami. Po podłączeniu zainfekowanego nośnika do portu USB do komputera posiadającego luki uruchamiane jest szkodliwe oprogramowanie, które próbuje odszyfrować blok danych, tworząc klucz do jego odblokowania. Klucz jest pobierany z konkretnej konfiguracji maszyny.

"Cel i funkcje zaszyfrowanego bloku danych pozostają zagadką" - mówi Aleksander Gostiew, główny ekspert ds. bezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab. "Użycie kryptografii oraz środki ostrożności podjęte przez twórców zagrożenia w celu ukrycia bloku danych wskazują, że ich cele są ściśle wyselekcjonowane. Rozmiar bloku danych również jest zastanawiający. Jest wystarczająco duży, aby zawierać kod, który może zostać użyty do cybersabotażu, podobnie jak moduły odpowiedzialne za infekowanie sterowników SCADA w Stuxnecie. Odszyfrowanie bloku danych umożliwi lepsze zrozumienie jego ogólnego celu oraz natury tego zagrożenia".

Firma Kaspersky Lab zaprasza wszystkie osoby zainteresowane kryptografią, inżynierią wsteczną lub matematyką do pomocy w odszukaniu kluczy deszyfrujących i odblokowaniu ukrytego bloku danych. Więcej informacji oraz opis techniczny problemu można znaleźć na blogu analityków z Kaspersky Lab publikowanym w ramach Encyklopedii Wirusów ViruList.pl: http://www.viruslist.pl/weblog.html?weblogid=819.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.