Gauss:Nation-state cyber-surveillance meets banking Trojan
Posted August 09, 13:00 GMT
Bàiđược đưa lên Internet ngày: 09/08/2012
Lờingười dịch: Bổ sung vào kho vũ khí KGM với nhữngStuxnet, Duqu và Flame, lần này là Gauss, “Gausslà một Trojan ngân hàng do nhà nước bảo trợ mang mộtđầu đạn hạt nhân với sứ mệnh chưa được rõ”.Ngoài việc ăn cắp các dạng dữ liệu khác nhau từ cácmáy Windowsbị lây nhiễm, nó cũng còn bao gồm trọng tải được mãhóa mà sẽ được kích hoạt trong các cấu hình hệ thốngđặc thù nhất định. Điều khác biệt, đây là lần đầutiên, một vũ khí KGM do nhànước bảo trợ, lại dànhcho việc theo dõi, giám sát, ăn cắp thông tin ủy quyềnđăng nhập của các tài khoản ngân hàng trực tuyến.Mục đích ăn cắp tiền từ các tài khoản đó đượcloại trừ, vì nó không xứng tầm của một vũ khí nhànước bảo trợ. Nó lây nhiễm cho hơn 2.500 máy tính cánhân, chủ yếu ở Li băng, Israel và các vùng lãnh thổPalestin. Giống như Stuxnet, Duquhay Flame, virus Gauss đương nhiên và mặc định dành choWindows. Bạn có thể tải vềtài liệu kỹ thuật ởđây. Introduction
Giớithiệu
Gauss là chiến dịchtrinh sát KGM gần đây nhất trong cuộc trường chinh củaStuxnet, Duqu và Flame.
Nó có lẽ được tạora vào giữa năm 2011 và được triển khai lần đầu tiênvào tháng 08-09/2011.
Gauss đã được pháthiện trong quá trình nỗ lực đang diễn ra được Liênđoàn Viễn thông Quốc tế ITU (
InternationalTelecommunications Uni-on) khởi xướng, sau khi phát hiệnra Flame. Nỗ lực này nhằm vào việc giảm nhẹ những rủiro mà các vũ khí KGM đặt ra, là một thành phần chủchốt trong việc đạt được toàn bộ mục tiêu KGM hòabình toàn cầu.
Trong 140 trang hoặc íthơn, “Gauss là một Trojan ngân hàng donhà nước bảo trợ mang một đầu đạn hạt nhân vớisứ mệnh chưa được rõ”. Ngoài việc ăn cắp các dạngdữ liệu khác nhau từ các máy Windows bị lây nhiễm, nócũng còn bao gồm trọng tải được mã hóa mà sẽ đượckích hoạt trong các cấu hình hệ thống đặc thù nhấtđịnh.
Giống hệt như Duquđã dựa vào nền tảng “Tilded” trong đó Stuxnet đãđược phát triển, Gauss dựa vào nền tảng của “Flame”.Nó chia sẻ một số chức năng với Flame, như các thủtục con gây lây nhiễm cho các đầu USB.
Trong phần các câuhỏi - đáp thường gặp này, chúng tôi trả lời một sốcâu hỏi chính về chiến dịch này.
Bổsung thêm vào điều này, chúng ta cũng đưa ra một tàiliệu kỹ thuật đầy đủ (phiên bản HTMLvà PDF)về các chức năng của phần mềm độc hại này. Gaussis the most recent cyber-surveillance operation in the Stuxnet, Duquand Flame saga.
Itwas probably cre-ated in mid-2011 and deployed for the first time inAugust-September 2011.
Gausswas discovered during the course of the ongoing effort initiated bythe International TelecommunicationsUni-on (ITU), following the discovery of Flame. The effort isaimed at mitigating the risks posed by cyber-weapons, which is a keycomponent in achieving the overall objective of global cyber-peace. In140 c-hars or less, “Gauss is a nation state sponsored bankingTrojan which carries a warhead of unknown designation”. Besidesstealing various kinds of data f-rom infected Windows machines, italso includes an unknown, encrypted payload which is activated oncertain specific system configurations.
Justlike Duqu was based on the “Tilded” platform on which Stuxnet wasdeveloped, Gauss is based on the “Flame” platform. It shares somefunctionalities with Flame, such as the USB infection subroutines.
Inthis FAQ, we answer some of the main questions about this operation.In addition to this, we are also releasing a full technical paper(HTMLversion and PDFversion) about the malware’s functionalities. Gausslà gì? Tên của nó từ đâu mà tới?
Gauss là một bộ côngcụ gián điệp KGM phức tạp được chính một vài tácnhân đứng đằng sau nền tảng phần mềm độc hạiFlame tạo ra. Nó được phân chia cao độ thành các modulevà hỗ trợ các chức năng mới có thể được triểnkhai từ xa từ những người vận hành ở dạng các trìnhcài cắm. Các trình cài cắm được biết hiện hành thựchiện các chức năng sau:
Chặn lấy các mật khẩu và cookie của trình duyệt.
Thu thập và gửi các dữ liệu cấu hình hệ thống cho những kẻ tấn công.
Gây lây nhiễm cho các đầu USB bằng một module ăn cắp dữ liệu.
Liệt kê nội dung các ổ đĩa và thư mục của hệ thống.
Ăn cắp các thông tin ủy nhiệm đối với hàng loạt các hệ thống ngân hàng tại Trung Đông.
Thâm nhập thông tin các tài khoản đối với mạng xã hội, các tài khoản thư điện tử và chat.
Các module có các tênnội bộ dường như để tưởng nhớ tới các nhà toánhọc và triết học nổi tiếng như Kurt Godel, Johann CarlFriedrich Gauss và Joseph-Louis Lagrange.
Modulecó tên “Gauss” là quan trọng nhất trong phần mềm độchại này khi mà nó triển khai các khả năng ăn cắp dữliệu và chúng tôi vì thế đã đặt tên cho bộ công cụcủa phần mềm này theo thành phần quan trọng nhất củanó.
Whatis Gauss? Whe-re does the name come f-rom?
Gaussis a complex cyber-espionage toolkit cre-ated by the same actorsbehind the Flame malware platform. It is highly modular and supportsnew functions which can be deployed remotely by the operators in theform of plugins. The currently known plugins perform the followingfunctions:
Intercept browser cookies and passwords.
Harvest and send system configuration data to attackers.
Infect USB sticks with a data stealing module.
List the content of the system drives and folders
Steal credentials for various banking systems in the Middle East.
Hijack account information for social network, email and IM accounts.
Themodules have internal names which appear to pay tribute to famousmathematicians and philosophers, such as Kurt Godel, Johann CarlFriedrich Gauss and Joseph-Louis Lagrange.
Themodule named “Gauss” is the most important in the malware as itimplements the data stealing capabilities and we have therefore namedthe malware toolkit by this most important component.
Kiếntrúc của Gauss
Bổ sung thêm, các tácgiả đã quên loại bỏ các thông tin gỡ rối các lỗi từmột vài ví dụ của Gauss, có chứa các đường dẫn nơimà dự án được đặt. Các đường dẫn đó là:
Biến thể
Đường dẫn tới các tệp của dự án
Tháng 08/2011
d:\projects\gauss
Tháng 10/2011
d:\projects\gauss_for_macis_2
Th 12/2011-01/2012
c:\documents and settings\flamer\desktop\gauss_white_1
Một người lưu ýngay lập tức “projects\gauss” (các dự án\gauss).
Về các phần “trắng”- chúng tôi tin tưởng đây là một tham chiếu tới Libăng, quốc gai với hầu hết các lây nhiễm của Gauss.Theo Wikipedia, “Cái tên Li băng tới từ gốc LBN củangôn ngữ Semit, nghĩa là “trắng”, có khả năng mộttham chiếu tới đỉnh băng tuyết Núi của Li băng”.
Gaussđã được phát hiện như thế nào? Và khi nào?
Gauss đã được pháthiện trong quá trình điều tra đang diễn ra được Liênđoàn Viễn thông Quốc tế ITU ( InternationalTelecommunication Uni-on) khởi xướng, là một phần của nỗlực bền vững làm giảm nhẹ những rủi ro do các mốiđe dọa KGM đang nổi lên đặt ra, và để đảm bảo hòabình KGM.
Như một phần củanỗ lực đó, chúng tôi đã tiếp tục phân tích các thànhphần còn chưa rõ của Flame để xác định liệu họ cóphát hiện ra những liên can, những điều tương tự haymanh mối nào mà các chương trình độc hại mới đã từnghoạt động tích cực hay không.
Trong quá trình phântích, chúng tôi đã phát hiện ra một module gián điệpKGM riêng rẽ mà nó dường như tương tự như Flame, nhưngvới sự phân phối địa lý khác. Ban đầu, chúng tôi đãkhông chú ý nhiều tới nó vì nó từng bị nhiều sảnphẩm chống phần mềm độc hại tìm ra. Tuy nhiên, chúngtôi đã phát hiện ra sau đó vài module nữa, bao gồm mộtsố module đã không được dò tìm ra, và dựa vào mộtxem xét kỹ lưỡng, chúng tôi đã lưu ý thấy những sựtương đồng rõ ràng với Flame. Tiếp sau các phân tíchchi tiết của chúng tôi hồi tháng 6 và 7/2012, chúng tôiđã khẳng định gốc gác của mã nguồn và các tác giảlà y hệt như với Flame.
GaussArchitecture
Inaddition, the authors forgot to remove debugging information f-romsome of the Gauss samples, which contain the paths whe-re the projectresides. The paths are:
Variant
Path to project files
August 2011
d:\projects\gauss
October 2011
d:\projects\gauss_for_macis_2
Dec 2011-Jan 2012
c:\documents and settings\flamer\desktop\gauss_white_1
Oneimmediately notices “projects\gauss”.
Inregards to the “white”part - we believe this is a reference to Lebanon, the country withthe most Gauss infections. According to Wikipedia, “Thename Lebanon comes f-rom the Semitic root LBN, meaning "white",likely a reference to the snow-capped Mount Lebanon.”http://en.wikipedia.org/wiki/Lebanon#Etymology Howwas Gauss discovered? And when? Gausswas discovered during the course of the ongoing investigationinitiated by the International Telecommunication Uni-on (ITU), whichis part of a sustained effort to mitigate the risks posed by emergingcyber-threats, and ensure cyber-peace.
Aspart of the effort we continued to analyze the unknown components ofFlame to determine if they revealed any similarities, correlations orclues regarding new malicious programs that were actively operating.
Duringthe course of the analysis, we discovered a separate cyber-espionagemodule which appeared similar to Flame, but with a differentgeographical distribution. Originally, we didn’t pay much attentionto it because it was already detected by many anti-malware products.However, we later discovered several more modules, including somewhich were not detected, and upon a closer look, we noticed theglaring similarities to Flame. Following our detailed analysis inJune and July 2012, we confirmed the origin of the code and theauthors as being the same as Flame.
Gaussđược tạo ra khi nào và nó đã hoạt động được baolâu rồi? Nó vẫn còn hoạt động chứ?
Dựa vào những phântích của chúng tôi và các dấu thời gian từ các modulecủa phần mềm độc hại được thu thập, chúng tôi tintưởng hoạt động của Gauss đã bắt đầu đâu đókhoảng tháng 8, tháng 9/2011. Điều này đặc biệt thú vịvì khoảng tháng 9/2011, CrySyS Lab tại Hungary đã công bốphát hiện ra Duqu. Chúng tôi không biết liệu những ngườiđứng sau Duqu đã có chuyển sang Gauss khi đó hay khôngnhưng chúng tôi hoàn toàn chắc chắn chúng có liên quantới nhau: Gauss có liên quan tới Flame, Flame có liên quantới Stuxnet, Stuxnet có liên quan tới Duqu. Vì thế, Gauss cóliên quan tới Duqu.
Kể từ tháng 5/2012,hơn 2.500 lây nhiễm đã được hệ thống an ninh dựa vàođám mây của Kaspersky Lab ghi nhận, với tổng số các nạnnhân của Gauss được ước tính có lẽ là khoảng hàngchục ngàn.
Hạ tầng chỉ huy vàkiểm soát của Gauss (C&C) đã bị sập vào tháng7/2012. Hiện tại, phần mềm độc hại này đang ở trongtình trạng ngủ đông, chờ cho các máy chủ C&C củanó hoạt động trở lại.
Whenwas Gauss cre-ated and how long has it been operational? Is it stillactive?
Basedon our analysis and the timestamps f-rom the collected malwaremodules, we believe the Gauss operation started sometime aroundAugust-September 2011. This is particularly interesting becausearound September 2011, the CrySyS Lab in Hungary announced thediscovery of Duqu. We do not know if the people behind Duqu switchedto Gauss at that time but we are quite sure they are related: Gaussis related to Flame, Flame is related to Stuxnet, Stuxnet is relatedto Duqu. Hence, Gauss is related to Duqu.
Sincelate May 2012, more than 2,500 infections were recorded by KasperskyLab’s cloud-based security system, with the estimated total numberof victims of Gauss probably being in tens of thousands.
TheGauss command-and-control (C&C) infrastructure was shutdown inJuly 2012. At the moment, the malware is in a dormant state, waitingfor its C&C servers to become active again.
Cơchế gây lây nhiễm của phần mềm độc hại này là thếnào? Nó có các khả năng tự động nhân bản (sâu) haykhông?
Giống hệt như trườnghợp của Flame, chúng tôi còn chưa biết các nạn nhân bịlây nhiễm với Gauss như thế nào. Có khả năng cơ chếđó là y hệt như của Flame và chúng tôi còn chưa tìm rađược nó; hoặc nó có thể đang sử dụng một phươngpháp khác. Chúng tôi còn chưa thấy bất kỳ khả năng tựlan truyền nào trong Gauss, nhưng số lượng lớn các nạnnhân mà Flame có thể chỉ ra một tính năng lan truyềnchậm. Điều này có thể được triển khai bằng mộttrình cài cắm mà chúng tôi còn chưa thấy.
Điều quan trọng phảinhớ là Gauss gây lây nhiễm cho các đầu USB bằng mộtthành phần ăn cắp dữ liệu mà lợi dụng chỗ bị tổnthương y hệt .LNK (CVE-2010-2568) được Stuxnet và Flame khaithác. Cùng lúc, quá trình gây lây nhiễm cho các đầu USBlà thông minh và hiệu quả hơn. Gauss có khả năng “gỡbỏ việc lây nhiễm” ổ đĩa theo những hoàn cảnh tìnhhuống nhất định, và sử dụng các phương tiện có khảnăng tháo lắp được để lưu giữ các thông tin thu thậpđược trong một tệp ẩn. Khả năng thu thập thông tintrong một tệp ẩn trong các ổ USB cũng tồn tại trongFlame. Một thành phần thú vị khác của Gauss là sự càiđặt một phông tùy biến gọi là Palida Narrow. Mục đíchcủa sự cài đặt phông này hiện còn chưa rõ.
Whatis the infection mechanism for this malware? Does it haveself-replicating (worm) capabilities?
Justlike in the case of Flame, we still do not know how victims getinfected with Gauss. It is possible the mechanism is the same asFlame and we haven’t found it yet; or it may be using a differentmethod. We have not seen any self-spreading (worm) capabilities inGauss, but the higher number of victims than Flame might indicate aslow spreading feature. This might be implemented by a plugin we havenot yet seen.
It’simportant to mention that Gauss infects USB sticks with a datastealing component that takes advantage of the same .LNK(CVE-2010-2568) vulnerability exploited by Stuxnet and Flame. At thesame time, the process of infecting USB sticks is more intelligentand efficient. Gauss is capable of “disinfecting” the drive undercertain circumstances, and uses the removable media to storecollected information in a hidden file. The ability to collectinformation in a hidden file on USB drives exists in Flame as well.Another interesting component of Gauss is the installation of acustom font called Palida Narrow. The purpose of this fontinstallation is currently unknown.
Cónhững chỗ bị tổn thương ngày số 0 (zero-dayvulnerabilities) nào không?
Chúng tôi còn chưathấy bất kỳ lỗi ngày số 0 nào hoặc những khai thácdạng của Flame theo “chế độ ông Trời” (God mode)trong Gauss. Tuy nhiên, vì cơ chế gây lây nhiễm còn chưarõ, có khả năng phân biệt được rằng một khai tháccòn chưa rõ đang được sử dụng.
Nên được lưu ýrằng đa số các nạn nhân của Gauss chạy Windows 7, nó sẽbị hỏng đối với khai thác .LNK được Stuxnet sử dụng.Vì thế, chúng tôi không thể khẳng định chắc chắnrằng không có các lỗi ngày số 0 trong Gauss.
Cóbất kỳ tải trọng đặc biệt hay bom thời gian nào trongGauss hay không?
Có. Tải trọng ăncắp dữ liệu có trong USB của Gauss gồm vài phần đượcmã hóa mà sẽ được giải mã bằng một khóa có nguồngốc từ các thuộc tính nhất định của hệ thống.Những phần này được mã hóa bằng một chuỗi môitrường và tên của thư mục trong %PROGRAMFILES%. Khóa RC4và các nội dung của các phần đó còn chưa được rõ -nên chúng tôi không biết mục đích của tải trọng ẩndấu này.
Chúng tôi vẫn cònđang phân tích các nội dung của các khối bí ẩn đượcmã hóa đó và đang cố gắng phá được sơ đồ mã hóa.Nếu bạn là nhà mật mã học cấp thế giới trong tháchthức này, xin gửi cho chúng tôi một thư điện tử tới
theflame@kaspersky.com.
Arethere any zero-day (or known) vulnerabilities included?
Wehave not (yet) found any zero-days or “God mode” Flame-styleexploits in Gauss. However, because the infection mechanism is notyet known, there is the distinct possibility that an unknown exploitis being used.
Itshould be noted that the vast majority of Gauss victims run Windows7, which should be prone to the .LNK exploit used by Stuxnet.Therefore, we cannot confirm for sure that there are no zero-days inGauss.
Isthere any special payload or time bomb inside Gauss?
Yes,there is. Gauss’ USB data stealing payload contains severalencrypted sections which are decrypted with a key derived f-romcertain system properties. These sections are encrypted with an RC4key derived f-rom a MD5 hash performed 10000 times on a combination ofa “%PATH%” environment string and the name of the directory in%PROGRAMFILES%. The RC4 key and the contents of these sections arenot yet known - so we do not know the purpose of this hidden payload.
Weare still analyzing the contents of these mysterious encrypted blocksand trying to break the encryption scheme. If you are world classcryptographer interested in this challenge, please d-rop us an e-mailat theflame@kaspersky.com Sựkhác biệt này với Trojan cửa hậu thông thường là gì?Liệu nó có tạo ra những điều đặc biệt mới hay thúvị hay không?
Saukhi xem xét Stuxnet, Duqu và Flame, chúng tôi có thể nói vớisự chắc chắn mức độ cao rằng Gauss tới từ cùng 'nhàmáy' hoặc 'các nhà máy' y hệt. Tất cả các bộ công cụtấn công đó đại diện cho sự cao cấp của các hoạtđộng gián điệp KGM và chiến tranh KGM được nhà nướcbảo trợ, xác định khá nhiều cho ý nghĩa của “phầnmềm độc hại tinh vi phức tạp”.
Kiếntrúc phân thành các module một cách cao độ của Gauss gợicho chúng ta nhớ về Duqu - nó sử dụng một thiết lậpđăng ký được mã hóa để lưu giữ các thông tin trongđó các trình cài cắm sẽ tải lên; được thiết kế đểnằm đằng sau các bộ dò tìm radar, tránh các chươngtrình an ninh và giám sát và thực hiện các chức nănggiám sát hệ thống một cách chi tiết cao độ. Bổ sungthêm, Gauss có chứa một tải trọng cho 64 bit, cùng vớicác trình cài cắm trình duyệt tương thích với Firefoxđược thiết kế để ăn cắp và giám sát các dữ liệutừ các khách hàng của vài ngân hàng ở Li băng: Bank ofBeirut, EBLF, BlomBank, ByblosBank, FransaBank và Credit Libanais.Hơn nữa, nó nhằm vào những người sử dụng củaCitibank và PayPal.
Đây thực sự là lầnđầu tiên chúng tôi đã quan sát thấy một chiến dịchgián điệp KGM của nhà nước quốc gia với một thànhphần Trojan ngân hàng. Không rõ liệu những người vậnhành có thực sự đang chuyển tiền từ các tài khoảnngân hàng của các nạn nhân hay liệu họ đơn giản cóđang giám sát các nguồn tài chính / cấp vốn cho các mụcđích đặc biệt hay không.
Gauss phức tạp thếnào? Nó có bất kỳ đặc tính, chức năng hay hành vi đángchú ý nào mà phân biệt nó với các phần mềm gián điệphay các Trojan ăn cắp thông tin thường thấy hay không?
So sánh với Flame, thìGauss là ít phức tạp hơn. Nó thiếu kiến trúc theo moduledựa vào LUA nhưng nó lại rất mềm dẻo. So với cácTrojan ngân hàng khác, thì nó dường như được tinh chỉnhtốt, theo nghĩa là nó không nhằm vào hàng trăm định chếtài chính, mà vào một danh sách có lựa chọn các địnhchế tài chính trực tuyến.
Howis this different f-rom the typical backdoor Trojan? Does it dospecific things that are new or interesting?
Afterlooking at Stuxnet, Duqu and Flame, we can say with a high degree ofcertainty that Gauss comes f-rom the same “factory” or“factories.” All these attack toolkits represent the high end ofnation-state sponsored cyber-espionage and cyberwar operations,pretty much defining the meaning of “sophisticated malware.”
Gauss’highly modular architecture reminds us of Duqu -- it uses anencrypted registry setting to store information on which plugins toload; is designed to stay under the radar, avoid security andmonitoring programs and performs highly detailed system monitoringfunctions. In addition, Gauss contains a 64-bit payload, togetherwith Firefox-compatible browser plugins designed to steal and monitordata f-rom the clients of several Lebanese banks: Bank of Beirut,EBLF, BlomBank, ByblosBank, FransaBank and Credit Libanais. Inaddition, it targets users of Citibank and PayPal.
Thisis actually the first time we’ve observed a nation-statecyber-espionage campaign with a banking Trojan component. It is notknown whether the operators are actually transferring funds f-rom thevictim’s bank accounts or whether they are simply monitoringfinance/funding sources for specific targets.
Howsophisticated is Gauss? Does it have any notable c-haracteristics,functions or behaviors that separate it f-rom common spyware orinfo-stealing Trojans?
Comparedto Flame, Gauss is less sophisticated. It lacks the modular LUA-basedarchitecture but it is nevertheless quite flexible. Compared to otherbanking Trojans, it appears to have been fine-tuned, in the sensethat it doesn’t target hundreds of financial institutions, but ase-lect list of online bankinginstitutions.
Điềugì là độc nhất vô nhị về Gauss, hoặc về kỹ thuậthay vận hành, mà phân biệt được nó với Flame, Duqu vàStuxnet?
Đặctính chủ chốt của Gauss là chức năng Trojan ngân hàngtrực tuyến. Khả năng ăn cắp các ủy quyền ngân hàngtrực tuyến là thứ gì đó chúng ta chưa từng thấy trướcđó trong các cuộc tấn công của các phần mềm độc hạido nhà nước bảo trợ.
Cóbao nhiêu máy tính bị lây nhiễm? Có bao nhiêu nạn nhânđược thấy?
MạngAn ninh dựa vào đám mây của Kaspersky (KSN) đã ghi nhậnđược hơn 2.500 máy bị lây nhiễm. Con số này thấp hơnso với của Stuxnet nhưng cao hơn đáng kể so với cáctrường hợp của Flame và Duqu.
Tổng số các lâynhiễm mà chúng tôi đã dò tìm thấy có thể trong thựctế chỉ là một phần nhỏ của hàng ngàn các lây nhiễm,vì các số thống kê của chúng tôi chỉ đề cập tớinhững người sử dụng các sản phẩm của Kaspersky Lab.
Whatis unique about Gauss, either technically or operationally, thatdifferentiates it f-rom Flame, Duqu and Stuxnet?
Thekey c-haracteristic of Gauss is the online banking Trojanfunctionality. The ability to steal online banking credentials issomething we haven’t previously seen in nation-state sponsoredmalware attacks.
Howmany infected computers are there? How many victims have you seen?The cloud-based Kaspersky Security Network (KSN) has recordedmore than 2,500 infected machines. This is lower than Stuxnet butsignificantly higher than in the Flame and Duqu cases.
Theoverall number of infections that we’ve detected could in realityjust be a small portion of tens of thousands of infections, since ourstatistics only cover users of Kaspersky Lab products.
GeographicalComparison of Infected Machines for Duqu, Flame and Gauss
Cácnạn nhân nằm ở đâu (theo phân bố địa lý)?
Đa số các nạn nhâncủa Gauss nằm ở Li băng. Cũng có các nạn nhân tạiIsrael và Palestin. Bổ sung thêm, có một ít nạn nhân tạiMỹ , UAE, Qatar, Jordan, Đức và Ai Cập.
Whe-reare the victims located (geographic distribution)?
Thevast majority of Gauss victims are located in Lebanon. There are alsovictims in Israel and Palestine. In addition to these, there are afew victims in the U.S., UAE, Qatar, Jordan, Germany and Egypt.
3 quốc gia hàng đầubị lây nhiễm Gauss
TopThree Countries Infected with Gauss
Gausscó nhằm vào bất kỳ dạng công nghiệp cụ thể nàokhông?
Gauss không nhằm vàocác doanh nghiệp hoặc một nền công nghiệp cụ thể nào.Nó có thể được mô tả tốt nhất như một chiến dịchtrinh sát KGM cao cấp chống lại các cá nhân bị nhắmđích / đặc thù.
Liệuđây có là một cuộc tấn công do nhà nước bảo trợhay không?
Đúng, có đủ bằngchứng rằng điều này có liên quan chặt chẽ tới Flamevà Stuxent, mà chúng là các cuộc tấn công do nhà nướcbảo trợ. Chúng ta có bằng chứng rằng Gauss đã đượctạo ra từ cùng y hệt 'nhà máy' (hoặc các nhà máy) màđã sản xuất ra Stuxnet, Duqu và Flame.
Bằng việc xem xétFlame, Gauss, Stuxnet và Duqu, chúng ta có thể vẽ ra được“bức tranh lớn” sau về mối quan hệ giữa chúng:
IsGauss targeting any specific type of industry?
Gaussdoesn’t target businesses or a specific industry. It can best bedescribed as a high-end cyber-surveillance operation againstspecific/targeted individuals.
Isthis a nation-state sponsored attack?
Yes,there is enough evidence that this is closely related to Flame andStuxnet, which are nation-state sponsored attacks. We have evidencethat Gauss was cre-ated by the same “factory” (or factories) thatproduced Stuxnet, Duqu and Flame.
Bylooking at Flame, Gauss, Stuxnet and Duqu, we can draw the following“big picture” of the relationship between them:
Cóbao nhiêu máy chủ chỉ huy và kiểm soát? Bạn có tiếnhành phân tích pháp lý các máy chủ đó không?
Trong quá trình phântích Gauss, chúng tôi đã xác định vài miền và 5 máy chủchỉ huy - kiểm soát khác nhau đang được sử dụng đểtìm lấy các dữ liệu được thu thập từ các máy tínhbị lây nhiễm.
Ôngcó đào hố chôn các máy chủ C&C đó không?
Chúng tôi chưa. Chúngtôi bây giờ đang trong quá trình làm việc với vài tổchức để điều tra các máy chủ C&C đó.
Kíchcỡ của Gauss thế nào? Có bao nhiêu module?
Module “tàu mẹ”của Gauss hơn 200KB một chút. Nó có khả năng tải cáctrình cài cắm khác cùng tới khoảng 2MB mã nguồn. Điềunày là vào khoảng 1/3 kích cỡ module chính
mssecmgr.ocxcủa Flame. Tất nhiên, có thể có những module mà chúngtôi còn chưa phát hiện ra - được sử dụng trong cácvùng địa lý khác hoặc trong các trường hợp cụ thểkhác.
Howmany command and control servers are there? Did you do forensicanalysis of these servers?
Inthe process of analyzing Gauss, we identified severalcommand-and-control domains and 5 different servers being used toretrieve data harvested f-rom infected machines.
Thisis also the first time we observe the use of “Round-robinDNS” in these malware families, possibly indicating the muchhigher volume of data were being processed. Round-robin DNS or DNSBalancing is a technique used to distribute high workloads betweendifferent web servers. Weare currently still investigating the Gauss C2 infrastructure. Moredetails are available in thefull technicalpaper. Didyou sinkhole the command and control servers?
Wehave not. We are now in the process of working with severalorganizations to investigate the C2 servers.
Whatis the size of Gauss? How many modules does it have?
TheGauss “mother-ship” module is a little over 200K. It has theability to load other plugins which altogether count for about 2MB ofcode. This is about one-third of the main Flame modulemssecmgr.ocx.Of course, there may be modules which we haven’tdiscovered yet - used in other geographical regions or in otherspecific cases. KasperskyLab có dò tìm ra được phần mềm độc hại này không?Làm thế nào tôi biết được nếu máy tính của tôi bịlây nhiễm?
Có,Kaspersky Lab dò tìm ra được phần mềm độc hại này nhưlà Trojan. Win32.Gauss.
KasperskyLab có đang làm việc với bất kỳ tổ chức chính phủnào hay nhóm quốc tế nào như là một phần của điềutra và các nỗ lực giải lây nhiễm hay không?
Kaspersky Lab đang làmviệc chặt chẽ với ITU để thông báo cho các quốc giabị lây nhiễm và hỗ trợ giải nhiễm.
KasperskyLab đã liên hệ với các nạn nhân bị lây nhiễm Gausschưa?
Chúng tôi không cóthông tin để xác định các nạn nhân và khả năng đểthông báo cho họ. Thay vào đó, chúng tôi đang đưa ra cácđịnh nghĩa dò tìm và loại bỏ và chúng tôi đang làmviệc với các cơ quan tuân thủ pháp luật, các CERT vàcác tổ chức quốc tế khác để phát ra những cảnh báovề các lây nhiễm đó.
Vìsao nó tập trung vào việc duyệt các ủy quyền ngân hàng,lịch sử, các thông tin card mạng, giao diện mạng vàBIOS? Điều quan trọng của mối quan tâm này là gì?
Chúng tôi không cócâu trả lời nhất quyết nào cho điều này. Giả thiếtlà những kẻ tấn công có quan tâm trong việc có đượccác hồ sơ nạn nhân và các máy tính của họ. Các ủyquyền ngân hàng, ví dụ, có thể được sử dụng đểgiám sát cân bằng thu chi trong các tài khoản của nạnnhân - hoặc, chúng có thể được sử dụng để trựctiếp ăn cắp tiền. Chúng tôi tin tưởng lý thuyết việcGauss được sử dụng để ăn cắp tiền được sử dụngđể cung cấp tài chính cho các dự án khác như Flame vàStuxnet là không hợp với ý tưởng của các cuộc tấncông mà nhà nước bảo trợ.
Vìsao những kẻ tấn công lại nhằm vào các ủy quyền ngânhàng? Liệu họ có sử dụng nó để ăn cắp tiền haygiám sát các giao dịch bên trong các tài khoản hay không?
Điều này còn chưarõ. Tuy nhiên, khó để tin rằng một nhà nước quốc giacó thể dựa vào những kỹ thuật như vậy để cung cấptài chính cho hoạt động gián điệp KGM và chiến tranhKGM được.
DoesKaspersky Lab detect this malware? How do I know if my machine isinfected?
Yes,Kaspersky Lab detects this malware as Trojan.Win32.Gauss
IsKaspersky Lab working with any government organizations orinternational groups as part of the investigation and disinfectionefforts?
KasperskyLab is working closely with the International Telecommunication Uni-on(ITU) to notify affected countries and to assist with disinfection.
DidKaspersky Lab contact the victims infected with Gauss?
Wedo not have information to identify the victims and the capability tonotify them. Instead, we are releasing detection and removaldefinitions and we are working with law enforcement agencies, CERTsand other international organizations to broadcast warnings about theinfections.
Whywas it focusing on browsing history, banking credentials, BIOS andnetwork card/interface information? What is the significance orinterest?
Wedo not have a definitive answer for this. The presumption is that theattackers are interested in profiling the victims and theircomputers. Banking credentials, for instance, can be used to monitorthe balance on the victim’s accounts - or, they can be used todirectly steal money. We believe the theory that Gauss is used tosteal money which are used to finance other projects such as Flameand Stuxnet is not compatible with the idea of nation-state sponsoredattacks.
Whywere the attackers targeting banking credentials? Were they using itto steal money or to monitor transactions inside accounts?
Thisis unknown. However, it is hard to believe that a nation state wouldrely on such techniques to finance a cyber-war/cyber-espionageoperation.
Cácdạng dữ liệu nào đã bị trích lọc?
Hạ tầng của Gaustừng bị đánh sập trước khi chúng tôi có được cơhội phân tích một lây nhiễm sống động và thấy chínhxác được có bao nhiêu và dạng dữ liệu nào đã bị ăncắp. Vì thế, những nghiên cứu của chúng tôi thuần túydựa vào việc phân tích mã nguồn.
Các dữ liệu đượcchi tiết hóa trong máy bị lây nhiễm cũng được gửi tớinhững kẻ tấn công, bao gồm những đặc thù của cácgiao diện mạng, các ổ đĩa và thậm chí thông tin vềBIOS của máy tính. Module Gauss cũng có khả năng ăn cắpcác ủy quyền truy cập đối với một loạt các hệthống và các phương pháp thanh toán của ngân hàng trựctuyến.
Điều quan trọng đểchỉ ra rằng hạ tầng C&C của Gauss đang sử dụngRound - Robin DNS - nghĩa là, có thể đưa ra một ý tưởngvề lượng dữ liệu bị các trình cài cắm của Gauss ăncắp.
Liệucó thành phần theo thời gian sống TTL (Time - to – Live)được xây dựng sẵn giống như của Flame và Duqu haykhông?
Khi Gauss gây lâynhiemx cho một bộ nhớ USB, nó thiết lập một cờ nhấtđịnh thành “30”. Cờ TTL này tăng từ từ từng chútmột mỗi lần tải trọng được thực hiện từ bộ nhớUSB đó. Một khi nó đạt tới 0, chì tải trọng ăn cắpdữ liệu sẽ tự xóa khỏi đầu USB đó. Điều này chắcchắn là các đầu USB bị lây nhiễm Gauss sẽ không sốngsót được. Nó có thể đủ lâu đối với các kết quảtrong dò tìm.
Ngônngữ lập trình nào được sử dụng? LUA? OOC?
Giống hệt như Flame,Gauss được lập trình bằng C++. Chúng chia sẻ khá nhiềumã nguồn, có lẽ các thư liện mức thấp được sửdụng trong các dự án đó. Các thư viện chung này làmviệc với các chuỗi và các tác vụ điều khiển dữliệu khác. Chúng tôi chưa thấy bất kỳ mã nguồn LUA nàotrong Gauss.
Đâulà sự khác biệt trong sự truyền giống giữa các mạngbên trong Gauss và Flame?
Một trong những cơchế lan truyền phổ biến của Flame là bằng việc thủvai Windows Up-date (chương trình cập nhật của Windows) vàthực hiện một cuộc tấn công người-giữa-đườngchống lại các nạn nhân. Chúng tôi còn chưa thấy bấtkỳ mã nguồn nào như vậy trong Gauss, chúng tôi cũng chưaxác định được một cơ chế lan truyền nào trong mạng.Chúng tôi vẫn còn đang nghiên cứu tình huống và sẽ cậpnhật hỏi đáp thường gặp này với những phát hiệntiếp theo.
Whatkinds of data was being exfiltrated?
TheGauss infrastructure was shut down before we had the chance toanalyze a live infection and to see exactly how much and what kind ofdata was stolen. So, our observations are purely based on analyzingthe code.
Detaileddata on the infected machine is also sent to the attackers, includingspecifics of network interfaces, computer’s drives and eveninformation about BIOS. The Gauss module is also capable of stealingaccess credentials for various online banking systems and paymentmethods.
It’simportant to point out that the Gauss C2 infrastructure is usingRound Robin DNS - meaning, they were ready to handle large amounts oftraffic f-rom possibly tens of thousands of victims. This can offer anidea on the amount of data stolen by Gauss’ plugins.
Isthere a built in Time-to-Live (TTL) component like Flame and Duquhad?
WhenGauss infects an USB memory stick, it sets a certain flag to “30”.This TTL (time to live) flag is decremented every time the payload isexecuted f-rom the stick. Once it reaches 0, the data stealing payloadcleans itself f-rom the USB stick. This makes sure that sticks withGauss infections do not survive ItW for long enough to results indetection.
Whatprogramming language was used? LUA? OOC?
Justlike Flame, Gauss is programmed in C++. They share a fair deal ofcode, probably low level libraries which are used in both projects.These common libraries deal with strings and other data manipulationtasks. We did not find any LUA code in Gauss.
Whatis the difference in the propagation between Gauss and Flame insidenetworks?
Oneof the known spreading mechanisms of Flame was by impersonatingWindows Up-date and performing a man-in-the-middle attack against thevictims. We haven’t found any such code in Gauss yet, neither wehave identified a local network spreading mechanism. We are stillinvestigating the situation and will up-date the FAQ with furtherfindings.
Liệucác máy chủ C&C đã có kết nối tới bất kỳ máychủ C&C nào của Flame hoặc liệu Gauss có hạ tầngC&C của riêng nó hay không?
Gaussđã sử dụng một hạ tầng C&C riêng biệt với Flame.Ví dụ, Flame đã sử dụng khoảng 100 miền cho các C&Ccủa nó, trong khi Gauss sử dụng chỉ nửa tá. Đây là mộtso sánh các hạ tầng C&C của Gauss và Flame:
Flame
Gauss
Đặt chỗ - Hosting
VPS chạy Debian Linux
VPS chạy Debian Linux
Services available
SSH, HTTP, HTTPS
SSH, HTTP, HTTPS
Chứng chỉ SSL
'localhost.localdomain' - tự ký
'localhost.localdomain' - tự ký
Thông tin đăng ký
Các tên giả
Các tên giả
Địa chỉ những người đăng ký
Các khách sạn, cửa hàng
Các khách sạn, cửa hàng
Giao thức giao thông của C&C
HTTPS
HTTPS
Mã hóa giao thông của C&C
Không
XOR 0xACDC
Các tên script của C&C
cgi-bin/counter.cgi, common/index.php
userhome.php
Số lượng miền C&C
~100
6
Số lượng các nhận diện giả được sử dụng để đăng ký các miền
~20
3
Didthe command and control servers connect to any of Flame’s or doesGauss have its own C2 infrastructure?
Gaussused a separate C2 infrastructure f-rom Flame. For instance, Flameused about 100 domains for its C2s, while Gauss uses only half adozen. Here’s a comparison and Gauss and Flame’s C2infrastructures:
Flame
Gauss
Hosting
VPS running Debian Linux
VPS running Debian Linux
Services available
SSH, HTTP, HTTPS
SSH, HTTP, HTTPS
SSL certificate
'localhost.localdomain' - self signed
'localhost.localdomain' - self signed
Registrant info
Fake names
Fake names
Address of registrants
Hotels, shops
Hotels, shops
C2 traffic protocol
HTTPS
HTTPS
C2 traffic encryption
None
XOR 0xACDC
C2 script names
cgi-bin/counter.cgi, common/index.php
userhome.php
Number of C2 domains
~100
6
Number of fake identities used to register domains
~20
3
Tôi nên làm gì nếutôi thấy một sự lây nhiễm và tôi có thiện chí đónggóp cho nghiên cứu của bạn bằng việc cung cấp nhữngmẫu ví dụ về phần mềm độc hại này?
Xin hãy liên hệ vớichúng tôi tại địa chỉ
“theflame@kaspersky.com”mà chúng tôi đã thiết lập trước đó cho các nạn nhâncủa các cuộc tấn công KGM đó.
Bạn có thể tải vềphiên bản PDF của tài liệu kỹ thuật đầy đủ
ởđây.
Whatshould I do if I find an infection and am willing to contribute toyour research by providing malware samples?
Pleasecontact us at the address “theflame@kaspersky.com”which we have previously setup for victims of these cyber attacks. Youcan download PDF version of full technical paper here. Dịch: Lê Trung Nghĩa