Kaspersky išče pomoč pri dešifriranju trojanca Gauss
Matej Huš
15. avg 2012 ob 23:17:37
Pretekli teden so v Kaspersky Labu javnost obvestili, da so odkrili še en zapleten kos zlonamerne programske opreme, ki ima zelo verjetno enako provenienco kakor Stuxnet in Flame. Poimenovali so ga Gauss in ugotovili, da so ga bržčas napisali isti ljudje kakor Flame in Stuxnet, čeprav zasleduje nekoliko drugačne cilje. Medtem ko je Stuxnet sabotiral iranski jedrski program po ameriškem naročilu, naročniki Flama uradno niso znani (so pa verjetno isti, ker ima en enak modul kakor Stuxnet). Flame je namenjen prisluškovanju, medtem ko Gaussov namen še ni znan. Nekaj modulov so že razvozlali in ugotovili, da so jih pisali isti ljudje kakor Flame, a glavni tovor ostaja neznanka. Znano pa je, da Gauss beleži prijavne podatke za elektronsko pošto, e-bančništvo, IM itd., kar je doslej pri vladnih trojancih nevideno. Razlogov utegne biti več, špekulira pa se, da je njegov namen predvsem nadzorovanje sumljivih posameznikov in ne kraja identitete ali denarja.
Glavni tovor, ki ga nosi Gauss, pa je šifriran. To kaže, da so se pisci od Stuxneta naučili mnogo. Predvsem so tako zakrili pravi namen trojanca in preprečili, da bi ga kdo recikliral in uporabil za druge namene. Ključ za dešifriranje tovora se tvori na podlagi parametrov sistema (predvsem imen nekaterih datotek v mapi Program Files) po posebnem algoritmu, kar se doslej po vedenju javnosti še ni zgodilo. Kaspersky Lab se zato obračajo na javnost in ponujajo znane podatke o Gaussu. Hkrati pozivajo vse strokovnjake s področja kriptoanalize in kriptografije, ki bi bili pripravljeni pomagati, da se pridružijo naporom za zlomitev te šifre. Napad s surovo silo (brute-force) ni bil uspešen, saj imena datotek najbrž vsebujejo nelatinične znake (arabske ali hebrejske).
To ni prvi primer, ko je Kaspersky Lab prosil za pomoč javnost. Na enak način so se lotili analize programskega jezika, v katerem je bil zapisan Stuxnetu podoben trojanec Duqu. Dobra dva tedna je trajalo, da so ga s skupnimi močmi odkrili. Sedanji problem je sicer mnogo težji, a vseeno ostajajo optimistični.