Phát hiện siêu virút máy tính mới ở Trung Đông

Phóng to

Cấu trúc dữ liệu được mã hóa của Gauss không chỉ là tính năng độc đáo của loại Trojan này mà còn là sự bí ẩn đầy thách thức đối với các chuyên gia bảo mật, khi mà mục đích chính của cấu trúc này vẫn chưa có câu trả lời chính xác - Ảnh minh họa: Internet

Về mức độ phức tạp của Gauss, giới an ninh mạng cho rằng nó có dấu hiệu được một tổ chức/quốc gia nào đó tài trợ, tương tự Flame (Xem "Virút Flame là dự án tầm cỡ quốc gia"). Gauss có khả năng đánh cắp nhiều thông tin, đặc biệt tập trung vào mật khẩu của trình duyệt web, thông tin tài khoản ngân hàng trực tuyến và các cấu hình hệ thống máy tính bị nhiễm. Các chuyên gia của Kaspersky Lab phát hiện Gauss bằng cách xác định sự tương đồng của chương trình độc hại với Flame.

Từ cuối tháng 5-2012, hơn 2.500 trường hợp lây nhiễm đã được ghi nhận bởi hệ thống bảo mật dựa trên "đám mây" của Kaspersky Lab, phần lớn trường hợp được tìm thấy ở Trung Đông. Các phát hiện về Gauss chỉ ra rằng có lẽ còn nhiều phần mềm độc hại khác liên quan đến gián điệp trên mạng hoạt động. Những căng thẳng hiện nay ở Trung Đông càng làm gia tăng cường độ các chiến dịch chiến tranh không gian mạng và hoạt động gián điệp không gian mạng đang diễn ra.

Phóng to

Hơn 1.600 máy tính đã bị lây nhiễm ở Lebanon - Nguồn: Kaspersky Lab

Các chuyên gia của Kaspersky Lab đã công bố nghiên cứu về Gauss, đồng thời phân tích các chức năng cơ bản và đặc điểm của nó bên cạnh cấu trúc, các môđun độc nhất, phương pháp giao tiếp và các số liệu thống kê của các trường hợp bị lây nhiễm. Tuy nhiên, một số bí ẩn và câu hỏi về Gauss vẫn chưa được giải đáp và cấu trúc dữ liệu được mã hóa của Gauss chính là khía cạnh hấp dẫn nhất.

Cấu trúc dữ liệu được mã hóa từ Gauss nằm ở môđun đánh cắp dữ liệu USB và được thiết kế để nhắm vào một hệ thống nhất định có cài đặt một chương trình cụ thể bằng cách thức "phẫu thuật".

Khi một ổ lưu trữ USB bị nhiễm được cắm vào một máy tính không được bảo mật, phần mềm độc hại sẽ thực thi và giải mã các cấu trúc dữ liệu bằng cách tạo ra một chìa khóa để mở khóa. Chìa khóa này xuất phát từ cấu hình cụ thể của hệ thống trên máy tính.

Ví dụ, nó bao gồm tên của một thư mục trong Program Files và phải có ký tự đầu tiên được viết bằng một bộ ký tự mở rộng như tiếng Ả Rập hay tiếng Do Thái. Nếu phần mềm độc hại xác định được các cấu hình hệ thống thích hợp, nó sẽ mở khóa và thực hiện truyển dữ liệu đánh cắp được.

Aleks Gostev, trưởng nhóm chuyên gia an ninh thuộc Nhóm nghiên cứu và phân tích toàn cầu Kaspersky Lab, cho biết: "Mục đích và chức năng của cấu trúc dữ liệu được mã hóa hiện nay vẫn là một bí ẩn. Cách viết mật mã và các biện pháp phòng ngừa mà các tác giả đã sử dụng để che giấu cấu trúc này cho thấy mục tiêu nhắm vào các cấu hình cao. Kích thước của cấu trúc dữ liệu cũng là một mối quan tâm. Nó đủ lớn để chứa mã có thể được sử dụng cho sự phá hoại trên không gian mạng, tương tự như mã hướng đến mục tiêu là các hệ thống SCADA của Stuxnet. Giải mã thành công cấu trúc dữ liệu này sẽ cung cấp một sự hiểu biết tốt hơn về các mục tiêu tổng thể và bản chất của mối đe dọa này".