Kaspersky Lab entdeckt neuen Trojaner Gauss

Die Sicherheitsexperten von Kaspersky Lab haben einen neuen Schädling entdeckt, der auf den Namen Gauss hört. Der Trojaner richtet sich vor allem gegen Anwender im Nahen Osten, vornehmlich im Libanon. Bei Kaspersky geht man davon aus, dass Gauss staatlich finanziert wurde. Ziel ist die Cyber-Spionage, das Abgreifen vertraulicher Daten, vor allem Internet-Passwörter, Zugangsdaten zum Online-Banking, Browser-Historie, Cookies sowie besonderer Konfigurationsdaten auf den infizierten Rechnern. Gauss wird als Cyber-Waffe eingestuft und ist damit der erste Fall mit den typischen Charakteristiken eines Online-Banking-Trojaners.

Entdeckt wurde Gauss im Zusammenhang mit Untersuchungen zu Flame. Die International Telecommunication Union (ITU) hatte Kaspersky Lab beauftragt, die Risiken zu untersuchen, die von Cyber-Waffen ausgehen. Ans Tageslicht kam Gauss wegen seiner Gemeinsamkeiten mit der Malware Flame. In vielen Punkten sind Architektur und Struktur der Module sowie die Code-Basis und Kommunikationsformen mit den Command & Control (C&C) Servern vergleichbar.

Ähnlichkeiten mit Flame, Duqu und Stuxnet

Alexander Gostev, Chief Security Expert bei Kaspersky Lab, erklärt dazu:

Gauss zeigt in punkto Design und Code-Basis verblüffende Ähnlichkeiten zu Flame. Das erleichterte uns dessen Entdeckung. Wie Flame und Duqu ist Gauss eine Plattform zur Cyber-Spionage, die allerdings etwas anders ausgerichtet ist. Wie Flame zielt auch Gauss auf Nutzer in bestimmten Ländern, allerdings mit einem deutlichen Schwerpunkt auf Onlinebanking und Finanzdaten.

Nach Angaben von Kaspersky wurde Gauss so programmiert, dass er gezielt nach Daten im Zusammenhang mit verschiedenen libanesischen Banken sucht (u.a. Bank of Beirut, Credit Libanais etc.), allerdings waren auch Kunden der Citibank Ziel der Attacken, ebenso Nutzer des Bezahldienstes PayPal.

Ausbreitung noch unklar

Die C&C Server von Gauss wurden bereits im Juli 2012 deaktiviert, kurz nach dem Gauss entdeckt wurde. So lange dies der Fall ist, befindet sich der Schädling in einer Art Schlafmodus, da keine neuen Anweisungen von den Command & Control Servern ausgegeben werden. Wie Kaspersky Lab herausfand, ist Gauss ungefähr seit September 2011 aktiv. Entdeckt wurde der Trojaner im Juni 2012. Unklar ist derzeit noch, wie sich Gauss ausbreitet. Die Sicherheitsexperten von Kaspersky gehen davon aus, dass dies auf eine andere Art und Weise geschieht wie bei Flame und Duqu. Die kontrollierte Art und Weise der Verbreitung mit dem Schwerpunkt auf Tarnung der Aktivitäten haben jedoch all diese Cyber-Waffen gemeinsam.

Zehntausende Opfer im Nahen Osten

Über 2.500 Computer wurden seit Ende Mai 2012 infiziert, die meisten davon (rund 1.600) im Libanon. Es ist jedoch davon auszugehen dass die Zahl der Opfer bei weit über 10.000 liegt. Noch ist offen, wer für die Programmierung des Virus verantwortlich zeichnet. Der Gauss Trojaner ist klassifiziert als Trojan-Spy.Win32.Gauss. Der Schädling wird von der Sicherheitssoftware von Kaspersky entdeckt, blockiert und entfernt.

Kaspersky Lab auf Amazon

 

Artikelbild: rt.com