Kaspersky Lab announces the discovery of "Gaussian", attacking members of the new cyber threat in the Middle East. Gauss is a complex, financed by the Government of a set of tools designed to steal confidential information, especially passwords in the browser, the credentials associated with online banking, cookies, and specific configuration of infected machines.
The banking Trojan identified in the Gaussian is a unique feature not found in any previously known cyber weapons. Gauss was detected during an ongoing initiative launched by the International Telecommunication Union (ITU) after detecting Flame'a. Its aim is to reduce the risk from cyber weapons, which is a key element of efforts to achieve the overarching goal of the global cyber room.
ITU, supported by the knowledge and experience of Kaspersky Lab, is taking significant steps to increase the global cyber security through active cooperation with all relevant players, such as governments, private sector, international organizations and the public, as well as their key partners in the initiative, ITU-IMPACT.
Kaspersky Lab has detected a Gaussian by identifying common characteristics of this malicious program from previously identified cyber weapon Flame. These include similarities in architecture, the structure of modules, code, and how to communicate with the servers used by cybercriminals to control these risks.
Key facts:
- The analysis shows that Gauss has been operating since September 2011
- It was first detected in June 2012 on the basis of information obtained as a result of in-depth analysis and research on pest Flame.
- This discovery was made possible by the clear similarities and relationships between Flame and Gauss.
- Infrastructure servers that control the Gaussian was closed in July 2012, shortly after it is detected. Currently, this malware is dormant, waiting for the servers to become active again.
- From the end of May 2012, based on the cloud security system, Kaspersky Lab recorded over 2 500 infections, and the total number of victims is estimated to be Gaussian tens of thousands. This number is lower than the Stuxnet but relatively higher than the Flame'a and Duqu.
- Gauss steals detailed information on the infected PCs, including browser history, cookies, passwords and system configurations. He can also steal credentials to access different online banking systems and payment methods.
- An analysis of the Gaussian that the worm was designed to steal data from several Lebanese banks, including Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank and Credit Libanais. In addition, users also affects Citibank and PayPal.
Gauss was detected by Kaspersky Lab experts in June 2012, his main module is called by unknown artists from the name of the German mathematician Carl Friedrich Gauss Johann. Other components also are named after famous mathematicians, for example, Joseph-Louis Lagrange and Kurt Gödel. The study showed that the first incident involving the Gauss took place in September 2011, in July 2012, Gauss control servers stopped working.
Numerous modules are Gaussian to collect information from the browser, including the history of websites visited and passwords. To the attackers also sent details of the infected machine, including data on network interfaces, drivers, computer, and information about the BIOS. Gauss module can also steal customer data, several Lebanese banks, including Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank and Credit Libanais. Attacks also Citibank and PayPal users.
Another major feature is the ability to infect Gaussian USB devices through the same vulnerability that Stuxnet exploited previously and Flame. The infecting USB devices, however, a more "intelligent". Gauss can "cure" such a device in certain circumstances and using removable media to store the collected information in a hidden file. Another action is to install a trojan on your system a special font called "Palidano Narrow", but the purpose of this action is still not known.
While Gauss Flame'a like in terms of design, the geographical distribution of the infection has been markedly different. The largest number of computers infected by Flame'a was recorded in Iran, and most of the victims were in a Gaussian Lebanon. Number of infections is also different. Based on telemetry Kaspersky Security Network (KSN), experts from Kaspersky Lab found that Gauss infected about 2 500 machines. For comparison, Flame infected much less, because nearly 700 machines.
Kaspersky Labは、中東での新たなサイバー脅威のメンバーを攻撃し、 "ガウス"の発見を発表しました。ガウスは、ブラウザで、特に機密情報、パスワードを盗むために設計されたツールのセットの政府が融資する、複雑で、オンラインバンキング、クッキー、および感染したマシンの特定の構成に関連付けられた資格です。
ガウシアンで同定銀行トロイの木馬は、以前に知られているサイバー兵器では見られないユニークな機能です。ガウスはFlame'aを検出した後、国際電気通信連合(ITU)が立ち上げた継続的なイニシアティブの間に検出されました。その目的は、グローバルサイバー部屋の包括的な目標を達成するための努力の重要な要素であるサイバー兵器からリスクを減らすことである。
Kaspersky Labの知識と経験でサポートされているITUは、イニシアチブは、ITU-IMPACTでそのような政府、民間部門、国際機関や公共だけでなく、彼らの重要なパートナーとして、関連するすべてのプレーヤーとの積極的な協力を通じて、グローバルサイバーセキュリティを高めるための重要な措置を講じている。
Kaspersky Labは、以前に同定されたサイバー兵器炎からこの悪意あるプログラムの共通の特性を識別することによって、ガウスを検出しました。これらは、アーキテクチャの類似性、モジュール、コード、そしてどのようにこれらのリスクを制御するためにサイバー犯罪者が使用するサーバーと通信するための構造を含んでいる。
重要な事実:
- 分析は、ガウスは2011年9月以来活動を続けていることを示しています
- これは、最初の害虫炎に関する詳細な分析と研究の結果として得られた情報に基づいて2012年6月に検出された。
- この発見は炎とガウスの間に明確な類似点との関係によって可能となった。
- ガウス分布を制御する基幹サーバは、それが検出された直後、2012年7月に閉鎖された。現在、このマルウェアは、サーバが再びアクティブになるのを待って、休止している。
- 2012年5月の終わりから、クラウド·セキュリティ·システムに基づいて、Kaspersky Labは、2 500感染にわたって記録し、犠牲者の総数は数千のガウス万と推定されています。この数値は、Stuxnetのより低いがFlame'aとDuquに比べて相対的に高くなっています。
- ガウスは、ブラウザの履歴、クッキー、パスワード、およびシステム構成など、感染したパソコンに関する詳細な情報を盗みます。彼はまた、別のオンライン·バンキング·システムおよび支払い方法にアクセスするための認証情報を盗むことができます。
- ワームはベイルート、EBLF、BlomBank、ByblosBank、FransaBankとクレジットLibanais銀行を含むいくつかのレバノンの銀行からデータを盗むように設計されたというガウスの解析。また、ユーザーはまた、シティバンクとPayPalに影響を与えます。
ガウスは、彼の主なモジュールはドイツの数学者カール·フリードリヒ·ガウスヨハンの名前から未知の芸術家によって呼ばれ、2012年6月にKaspersky Labのエキスパートによって検出された。他の成分もジョゼフ=ルイ·ラグランジュ、クルト·ゲーデル、例えば、有名な数学者の名にちなんで名付けられる。研究では、ガウスを含む第一事件は、2012年7月に、2011年9月に行われたことを示した、ガウス制御サーバは動作を停止しました。
多数のモジュールでは、アクセスしたウェブサイトとパスワードの履歴を含めて、ブラウザから情報を収集することがガウシアンである。攻撃者にも、ネットワークインターフェイス、ドライバ、コンピュータ、およびBIOSに関する情報に関するデータを含む感染したマシンの詳細を送った。ガウスモジュールはまた、ベイルート、EBLF、BlomBank、ByblosBank、FransaBankとクレジットLibanais銀行を含む顧客データは、いくつかのレバノン銀行を盗むことができます。また、シティバンクとのPayPalユーザーを侵す。
もう一つの大きな特徴は、Stuxnetのは、以前と炎が悪用したのと同じ脆弱性を利用してガウスのUSB機器に感染する能力です。感染したUSBデバイス、しかし、より多くの "インテリジェント"。ガウスは、特定の状況下でこのようなデバイスを "治す"と隠しファイルに収集された情報を格納するリムーバブルメディアを使用することができます。別のアクションは、ご使用のシステム "狭Palidano"と呼ばれる特殊なフォントにトロイの木馬をインストールすることですが、この行動の目的は、まだ知られていない。
ガウスFlame'aはデザインの面で希望しながら、感染の地理的分布は著しく異なっている。 Flame'aに感染したコンピュータの最大数は、イランに記録され、犠牲者のほとんどは、ガウスレバノンであった。感染者数も異なっています。テレメトリカスペルスキーセキュリティネットワーク(KSN)に基づいて、カスペルスキーの専門家は、ガウスが500の約2マシンを感染させたことがわかった。約700機あるため、比較のために、炎は、はるかに少ない感染。
卡巴斯基实验室宣布发现了“高斯”,在中东的新的网络威胁攻击的成员。高斯是一个复杂的一组工具,窃取机密信息,特别是在浏览器中的密码,凭证与网上银行,cookies和受感染的机器的具体配置,由政府提供资金。
在高斯标识的银行木马是一个独特的功能,没有发现任何已知的网络武器。高斯过程中检测到正在进行的倡议,由国际电讯联盟(ITU)后检测Flame'a。其目的是从网络武器,这是一个关键要素,努力实现全球网络空间的总体目标,以减少风险。
ITU,支持的知识和经验的卡巴斯基实验室,是采取显著的步骤,以提高在全球网络安全性,通过积极的合作与所有相关的参与者,如政府,私营部门,国际组织和公众,以及他们的关键合作伙伴的主动权,ITU-IMPACT。
通过识别恶意程序的共同特点,这从先前确定的网络武器火焰,卡巴斯基实验室已经检测到一个高斯。这些措施包括相似的架构,结构模块,代码,以及如何进行通信的服务器被网络罪犯用来控制这些风险。
重要事实:
- 分析表明,高斯已自2011年9月
- 这是首次发现于2012年6月的基础上,作为害虫火焰深入的分析和研究的结果,获得的信息。
- 这一发现可以通过明确的相似性和火焰和高斯之间的关系的。
- 基础设施服务器,控制高斯在2012年7月被关闭后不久,它被检测到。目前,该恶意软件处于休眠状态,等待的服务器变得活跃起来。
- 从2012年5月底,云安全系统的基础上,卡巴斯基实验室录得超过2 500感染,和受害者总数估计为高斯数以万计的。这个数字是低于Stuxnet的,但相对高于的Flame'a和Duqu。
- 高斯抢断在受感染的电脑,包括浏览器的历史记录,饼干,密码和系统配置的详细信息。他也可以窃取凭据来访问不同的网上银行系统和支付方法。
- 高斯分析,该蠕虫的目的是要窃取数据的黎巴嫩银行,包括贝鲁特,常绿阔叶林,BlomBank,ByblosBank,FransaBank和信用Libanais银行。此外,用户还影响到花旗银行和PayPal。
高斯检测卡巴斯基实验室的专家在2012年6月,他被称为主模块的名称未知艺术家的德国数学家卡尔·弗里德里希·高斯约翰。其他组件也被命名后,著名的数学家,例如,约瑟夫·路易斯·拉格朗日和哥德尔。研究表明,涉及高斯的第一个事件发生在2011年9月,2012年7月,高斯控制服务器停止工作。
许多模块是高斯的浏览器,包括历史的网站收集信息的访问和密码。攻击者发送受感染的计算机,网络接口,驱动程序,计算机的BIOS的信息,包括数据的详细信息。高斯模块还可以窃取客户数据,有几个的黎巴嫩银行,包括贝鲁特,常绿阔叶林,BlomBank,ByblosBank,FransaBank和信用Libanais银行。攻击也花旗银行和PayPal的用户。
另一个主要功能是通过相同的漏洞Stuxnet蠕虫利用和火焰感染高斯USB设备的能力。感染的USB设备,但是,更多的“智能”。高斯可以“治愈”这样的设备在某些情况下,使用可移动介质存储在一个隐藏的文件中收集到的信息。另一个动作是一个木马安装在您的系统称为“Palidano窄”的特殊字体,但仍然不知道这一行动的目的。
高斯Flame'a喜欢在设计方面,已经有了显着的不同地理分布的感染。在伊朗录得最大数量的电脑,感染的Flame'a的,大多数受害者是在高斯黎巴嫩。感染数量也是不同的。基于遥测卡巴斯基安全网络(KSN),来自卡巴斯基实验室的专家发现,高斯约2 500台机器感染。为了便于比较,火焰感染要少得多,因为近700台机器。
No comments:
Post a Comment