» »

Kaspersky išče pomoč pri dešifriranju trojanca Gauss

Kaspersky išče pomoč pri dešifriranju trojanca Gauss

Slo-Tech - Pretekli teden so v Kaspersky Labu javnost obvestili, da so odkrili še en zapleten kos zlonamerne programske opreme, ki ima zelo verjetno enako provenienco kakor Stuxnet in Flame. Poimenovali so ga Gauss in ugotovili, da so ga bržčas napisali isti ljudje kakor Flame in Stuxnet, čeprav zasleduje nekoliko drugačne cilje. Medtem ko je Stuxnet sabotiral iranski jedrski program po ameriškem naročilu, naročniki Flama uradno niso znani (so pa verjetno isti, ker ima en enak modul kakor Stuxnet). Flame je namenjen prisluškovanju, medtem ko Gaussov namen še ni znan. Nekaj modulov so že razvozlali in ugotovili, da so jih pisali isti ljudje kakor Flame, a glavni tovor ostaja neznanka. Znano pa je, da Gauss beleži prijavne podatke za elektronsko pošto, e-bančništvo, IM itd., kar je doslej pri vladnih trojancih nevideno. Razlogov utegne biti več, špekulira pa se, da je njegov namen predvsem nadzorovanje sumljivih posameznikov in ne kraja identitete ali denarja.

Glavni tovor, ki ga nosi Gauss, pa je šifriran. To kaže, da so se pisci od Stuxneta naučili mnogo. Predvsem so tako zakrili pravi namen trojanca in preprečili, da bi ga kdo recikliral in uporabil za druge namene. Ključ za dešifriranje tovora se tvori na podlagi parametrov sistema (predvsem imen nekaterih datotek v mapi Program Files) po posebnem algoritmu, kar se doslej po vedenju javnosti še ni zgodilo. Kaspersky Lab se zato obračajo na javnost in ponujajo znane podatke o Gaussu. Hkrati pozivajo vse strokovnjake s področja kriptoanalize in kriptografije, ki bi bili pripravljeni pomagati, da se pridružijo naporom za zlomitev te šifre. Napad s surovo silo (brute-force) ni bil uspešen, saj imena datotek najbrž vsebujejo nelatinične znake (arabske ali hebrejske).

To ni prvi primer, ko je Kaspersky Lab prosil za pomoč javnost. Na enak način so se lotili analize programskega jezika, v katerem je bil zapisan Stuxnetu podoben trojanec Duqu. Dobra dva tedna je trajalo, da so ga s skupnimi močmi odkrili. Sedanji problem je sicer mnogo težji, a vseeno ostajajo optimistični.

8 komentarjev

imagodei ::

Kaspersky očitno res rula.

No, mi v podjetju smo šli iz dobrega na slabše, nato pa na crap. Pred leti smo imeli Kaspersky, verzija je bila sicer za današnje razmere ancient, ampak je imela pa precej majhen vpliv na zmanjšanje hitrosti delovanja PC-ja. Nato smo, zaradi politike podjetja in ideje outsourcanih sistemcev šli na McAfee. All in all niti ni bila tako zanič zadeva, stvari so bile z dosti napora pošlihtane še bolj kot prej: centralni management in update, določanje policyja... Performančno je bil Mk-kofe slabši, prednost je bila pa v tem, da si lahko nastavil omejitev obremenjevanja CPU-ja na nek določen procent.

No, z novimi lastniki so prišle nove ideje in nova politika - in, Symantec Antivirus. To pa je crap od programske opreme. Footprint na resursih je ogromen, ko reč ujame kak virus, je GUI nejasen in ne veš, kaj se je zgodilo z malware-om (a ga je uspel zbrisat, a ga je dal v karanteno, a si zaščiten ali ne...) - skratka, crap od crapa. Da ne omenjam, da na starejših računalnikih, ki imajo samo en procesor/jedro, lahko zaključiš z delom tisti dan v mesecu, ko se odloči delat kompletni pregled.

Kaspersky FTW.
- Hoc est qui sumus -

mtosev ::

in kaj bodo pridobili, če ga uspejo dešifrirati
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro
moj oče darko 1960-2016, moj labradorec max 2002-2013

Zgodovina sprememb…

  • spremenil: mtosev ()

filip007 ::

Lažje ga bodo spucali, oziroma bolj konkretno.

Pri AV ni za pretiravat, se uporabi tisto kar deluje, F-Secure, Kaspersky ali pa AVG ta zelo malo poje.
Palačinka z Ajvarjem in stopljenim sirom v mikrovalovki.

Zgodovina sprememb…

  • spremenil: filip007 ()

gslo ::

upam da rula, sem nabavu kaspersky one licenco za $99 za 5 random platform. android - osx - windows. sem zadovoljen, razen s kaspersky security na osx. zaenkrat se na mountain lionu redno sesuva. no, morda je pa fora v mountain lionu. prva verzija pa to. :-/

poweroff ::

Verjetno bo bolj problem to, da bodo ugotovili kdo točno je bil tarča napada...
sudo poweroff

Jst ::

>in kaj bodo pridobili, če ga uspejo dešifrirati

Zanimivo jim je najbrž to, da je kriptiran na točno določen računalnik. Iz tega podatka bi se dalo veliko zvedeti. Recimo če je kriptiran za osebni računalnik kakšnega predsednika,...

Bi se takoj lahko sklepalo poreklo in njihov interes.


---

Ter morda gre za kakšen nov vzorec, katerega derivate bodo potem lažje odkrili.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

PaX_MaN ::

Recimo če je kriptiran za osebni računalnik kakšnega predsednika,...

I lol'd.
Saj se vidi da ciljajo en točno določen program; iščejo po %PROGRAMFILES% in eno mapo not - k jo v program files zihr ne delajo uporabniki, ane?
Tudi če bi ciljali točno določene osebe - glede na to da so vedel točno katero pot morajo ciljat - iz njih so hashe k odklenejo payload naredil, remember - se lahko sklepa, da so, da so to zvedl, že mel dostop do računalnikov teh oseb in je potem virus delat brezveze ker dobiš pol k en njewsi napiše knjigo o tem cel shitstorm nazaj.

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

Fave ::

A kdo spremlja tole? Kako kaj napredujejo?
My mind's a hyper tool that fixes everything.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Stuxnet povzročil precej težav na vesoljski postaji in v jedrskih elektrarnah

Oddelek: Novice / Varnost
97769 (5778) zos
»

Po Stuxnetu in Flamu še MiniDuke, ki je napadal tudi v Sloveniji

Oddelek: Novice / Varnost
125690 (3945) GBX
»

Stuxnet, DuQu, Flame, Madi, Gauss ... Rdeči oktober! (strani: 1 2 )

Oddelek: Novice / Varnost
7422889 (20275) OmegaBlue
»

Flame stokrat kompleksnejši od Stuxneta

Oddelek: Novice / Varnost
4217439 (15182) BigWhale

Več podobnih tem