Gauss: برمجية خبيثة جديدة مماثلة لـ Flame تتخصص في سرق بيانات الحسابات البنكية في منطقة الشرق الأوسط

نُشر يوم 11 أوت 2012 بواسطة Xacker

لم يُفق العالم بعد من تأثير “Flame”، حتى بدأت الأخبار بالانتشار حول برمجية خبيثة جديدة كُنيت بـ “Flame 2.0” نظراً للأغراض التجسسية التي كتبت من أجلها كسابقتها “Flame”.

حيث أعلنت شركة Kaspersky عن اكتشافها لبرمجية خبيثة تجسسية جديدة أطلقت عليها اسم “Gauss” تيمّناً بالرياضي الشهير “كارل فريدريك غاوص”، وقد وقع اختيار الاسم بعد إيجاد سلسلة نصية احتوت على هذا الاسم ضمن شفرة البرمجية الخبيثة الرئيسية، كما تظهره الصورة التالية:

ظهور اسم الرياضي “Gauss” في الشفرة الخبيثة

كما احتوت لواحق برمجية أخرى على أسماء رياضيين آخرين مشهورين مثل “جوزيف لويس لاغرانج” و “كرت غوديل”.

“Gauss” كأبيه “Flame” يقوم باستهداف مناطق جغرافية محددة من العالم، يتمثل معظمها في بلدان تقع في الشرق الأوسط وهي: تركيا، إيران، سورية، العراق، لبنان، اسرائيل، الأردن، مصر، السعودية، السودان، الإمارات العربية المتحدة، قطر، الكويت، البحرين وذلك وفقاً للدراسة التي أعدتها Kaspersky حول هذا الخصوص.

التوزع الجغرافي للإصابات التي حققها “Gauss” مركّزة في الشرق الأوسط

وتقول Kaspersky في نشرتها بأن “Gauss” برمجية خبيثة ممولة ومدعومة من قبل إحدى الدول أو الجهات الثرية، تم تصميمها لسرقة البيانات الشخصية الحساسة وبشكل أخص كلمات المرور التي يتم إدخالها عبر المتصفحات وبيانات الحسابات البنكية، الـ cookies، وبعض المعلومات عن إعدادات محددة في الأجهزة المصابة.

أما عن الوظيفة التجسسية الخاصة بسرقة بيانات الحسابات البنكية فهي المرة الأولى التي تشاهد هذه الوظيفة مقارنة بسابقاتها من البرمجيات الخبيثة ذات الأغراض التجسسية.

هذا ويمكن ملاحظة 7 حقائق سريعة:

  * يظهر التحليل بأن “Gauss” بدأت عملياتها تقريباً في شهر سبتمبر 2011.
  * تم اكتشافها لأول مرة في يونيو 2012، نتيجة المعلومات التي تم جمعها من خلال الدراسة الدقيقة لـ “Flame”.
  * هذا الاكتشاف أصبح ممكناً نتيجة التشابه الكبير بين “Guass” و “Flame” في منصات التطوير، بنية اللواحق البرمجية وطرق التواصل مع خوادم التحكم والإدارة.
  * توقفت شبكة “Gauss” عن العمل في يوليو 2012 وذلك بعد فترة قصيرة من اكتشافها. في الوقت الحالي فإن البرمجيات الخبيثة المنتشرة في الأجهزة المصابة، تقبع بانتظار عودة خوادم الإدارة والتحكم للعمل مجدداً.
  * بدءاً من مايو 2012 فقد قامت Kaspersky بتسجيل أكثر من 2,500 إصابة، ويقدر عدد الإصابات الإجمالية بعشرات الآلاف. مقارنة بـالإصابات التي حققتها “Stuxnet” فإن هذا الرقم أقل منها، لكنه أعلى بأشواط من الإصابات التي حققها كل من “Duqu” و “Flame”.
  * يقوم “Gauss” بسرقة معلومات تفصيلية عن الأجهزة المصابة متضمناً ذلك سجلات التصفح، cookies، كلمات المرور وإعدادات النظام. كما أن بإمكان “Gauss” سرقة بيانات لعدد من الأنظمة البنكية الالكترونية ووسائط الدفع.
  * أظهر التحليل بأن “Gauss” مصمم لسرقة بيانات من عدة بنوك لبنانية بما في ذلك: بنك لبنان، EBLF، BlomBank، بنك بيبلوس، FransaBank و Credit Libanais. بالإضافة لهذا فإنها تستهدف المستخدمين لدى Citibank، PayPal، MasterCard، American Express، Visa، eBay، Gmail، Hotmail، Yahoo، Facebook، Amazon.

وبالنسبة للانتشار، فمن إحدى الخواص التي يتمتع بها “Gauss” قدرته على إصابة وسائط التخزين المحمولة عبر USB، باستخدام ثغرة الاختصارات في Windows التي عرفت لأول مرة في “Stuxnet” كثغرة 0-day وأعيد استخدامها في “Flame”. لكن في الوقت ذاته، تبقى تقنية إصابة الوسائط المحمولة “أذكى” من المستخدمة في أسلافه، حيث يستطيع “Gauss” إزالة برمجيات خبيثة أخرى من الوسائط المحمولة وفق ظروف معينة، كما يقوم باستخدام الوسائط المحمولة للاحتفاظ بالبيانات التي تم تسجيلها في ملف مخفي.

اللواحق البرمجية الخبيثة

وتبقى طرق الإصابة بـ “Gauss” غير محددة حتى الآن، لكن يظهر جلياً بأن “Gauss” ينتشر بوسائل مختلفة عن “Flame” و “Duqu”، إلا أنه يشبهما في آلية الانتقال التي يتم التحكم بها عن بعد مما يدل على السرية التي كانت تتمتع بها العملية.

بالإضافة لما سبق، يقوم “Gauss” بتثبيت ملف “خطوط” خاص يدعى Palida Narrow، ما تزال الغاية منه مجهولة حتى الآن.

وعلى الرغم من أن “Gauss” يشبه إلى حد كبير “Flame” في التصميم، إلا أن التوزع الجغرافي للإصابات يختلف عنه بشكل ملحوظ. حيث سجلت أعلى نسبة إصابات في لبنان بخلاف “Flame” الذي كانت أعلى نسبة إصابات حققها في إيران.

ويتكون حجم الجزء الرئيسي من “Gauss” من حوالي 200 كيلو بايت، أي ما يقرب من ثلث حجم “Flame”، لكنه قادر على تحميل لواحق خبيثة أخرى مما يجعل حجمه يصل إلى حوالي 2 ميغابايت.

يتوفر في الوقت الحالي برنامجين للكشف عن إصابة “Gauss” للأنظمة، أحدها تم طرحه من مخابر CrySys والذي يعتمد على البحث عن ملف الخط Palida Narrow، بينما قامت Kaspersky بتوفير برنامج آخر يعتمد ذات الإجرائية لكن بطريقة أبسط وذلك من خلال إدراج IFRAME في صفحة ويب ويقوم كود JavaScript بالكشف عن وجود الخط المذكور الذي يترافق مع “Gauss”.

هل تعتقد أن الحرب العالمية الثالثة القادمة ستكون حرباً الكترونية؟ هل التركيز في الإصابات على “لبنان” إشارة إلى استهداف جهات توصف بالإرهابية كـ “حزب الله” المدعوم من قبل إيران؟ من برأيك قد تكون الجهة خلف “Gauss” .. الصين، أمريكا أم جهات أخرى؟ S,D,F,G.. ما البرمجية الخبيثة القادمة – “Hell” مثلاً؟ أسئلة كثيرة تدور في الذهن ندعوكم إلى مشاركتنا آراءكم حولها.