Banku trojieša funkciju ietveršana Gauss ir unikāls gadījums, kāds agrāk nav bijis sastopams kaitīgo programmatūru klāstā, kuras pieņemts pieskaitīt kiberieroču klasei.
Gauss tika konstatēts vērienīgas kampaņas laikā, ko ierosināja Starptautiskā telesakaru savienība (International Telecommunication Union, ITU) pēc Flame atklāšanas. Kampaņas vispārējais mērķis ir samazināt ar kiberieroču lietošanu saistīto risku un saglabāt mieru kibertelpā. Izmantojot Kaspersky Lab speciālistu profesionālo atbalstu, ITU veic svarīgus vispasaules kiberdrošības nostiprināšanas pasākumus, aktīvi iesaistoties iniciatīvas ITU IMPACT galvenajiem partneriem, valdībām un privātām organizācijām, kā arī pilsoniskajai sabiedrībai.
Kaspersky Lab eksperti spēja atklāt Gauss, jo trojietim piemīt vairākas īpašības, kas to saista ar sarežģīto kaitīgo programmatūru Flame. Līdzība ir novērojama arhitektūrā, modulārajā uzbūvē, kā arī saziņas veidā ar vadības serveriem.
Jauno kaitīgo programmatūru Kaspersky Lab atklāja 2012.gada jūnijā. Tās galveno spiegošanas moduli (pagaidām nezināmie) radītāji ir nosaukuši vācu matemātiķa Johana Kārļa Frīdriha Gausa vārdā. Arī citām trojieša datnēm ir doti ievērojamu matemātiķu– Žozefa Luija Lagranža un Kurta Gēdeļa – vārdi. Pētījumā noskaidrojās, ka pirmie inficēšanas gadījumi ar Gauss notikuši 2011.gada septembri, taču kaitīgās programmatūras vadības serveri pārtrauca darbību tikai 2012.gada jūlijā.
Gauss daudzie moduļi ir paredzēti pārlūkprogrammā ietvertās informācijas vākšanai, ieskaitot apmeklēto vietņu vēsturi un tiešsaistes pakalpojumos izmantotās paroles. Turklāt uzbrucēji saņēma detalizētu informāciju par inficēto datoru, tostarp par tīkla saskarnēm un atmiņas iekārtām, kā arī BIOS datus. Trojietis Gauss var zagt vairāku Libānas banku, piemēram, Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank un Credit Libanais, klientu konfidenciālo informāciju. Piedevām tā mērķis ir Citibank klienti un elektroniskās norēķinu sistēmas PayPal lietotāji.
Vēl viena svarīga Gauss iezīme ir USB atmiņas ierīču inficēšana, izmantojot to pašu ievainojamību, kuru izmanto Stuxnet un Flame, taču USB ierīču inficēšana no priekštečiem atšķiras ar noteiktu intelektisko elementu. Piemēram, izmantojot atmiņas ierīci savāktās informācijas glabāšanai slēptā datnē, noteiktos apstākļos Gauss var dzēst sevi un visus nozagtos datus. Turklāt trojietim ir raksturīgi, ka tas instalē īpašu fontu Palida Narrow, taču tā nozīme pagaidām nav skaidra.
Lai gan Gauss un Flame uzbūvē ir daudz kopīga, to inficēšanas ģeogrāfija ievērojami atšķiras. Visvairāk ar Flame inficētu datoru ir Irānā, bet lielākā daļa Gauss upuru atrodas Libānā. Arī inficēto datoru skaits manāmi atšķiras. Uzraudzības mākoņsistēmas Kaspersky Security Network dati liecina, ka ar Gauss ir inficēti aptuveni 2,5tūkstoši datoru, savukārt Flame bija tikai apmēram 700 upuru.
Lai gan precīzais inficēšanas mehānisms vēl nav noskaidrots, eksperti ir pārliecināti, ka Gauss izplatīšana notiek pēc scenārija, kas atšķiras no Flame vai Duqu. Tomēr jāatzīmē, ka tāpat kā agrīnākajiem kiberspiegiem, arī trojieša izplatīšanas process tiek stingri kontrolēts, kas liecina par nolūku palikt nepamanītam pēc iespējas ilgāk.
«Gauss uzbūve un kods ir ļoti līdzīgs Flame. Būtībā tieši tāpēc mēs varējām to atklāt,» sacīja Kaspersky Lab galvenais antivīrusu eksperts Aleksandrs Gostevs. «Tāpat kā Flame un Duqu, arī Gauss ir sarežģīta programma, kas paredzēta kiberspiegošanai ar īpašu uzsvaru uz darbības slepenību, tomēr nesen atklātā trojieša mērķi ir pavisam citi: Gauss inficē lietotājus stingri noteiktās valstīs un zog lielus datu apjomus, turklāt to īpaši interesē finanšu informācija.»
Pašlaik Kaspersky Lab sekmīgi atklāj, bloķē un likvidē trojieti Gauss. Antivīrusu datubāzē tas ir klasificēts ar nosaukumu Trojan-Spy.Win32.Gauss.
Kaitīgās programmatūras Gauss detalizēta analīze ir pieejama vietnē http://www.securelist.com.
Fakti Veiktā analīze liecina, ka Gauss darbība sākta 2011.gada septembrī. Trojieti izdevās atklāt tikai 2012.gada jūnijā un tāpēc, ka tam ir vairākas kopīgas iezīmes ar Flame. Gauss vadības infrastruktūra tika izslēgta 2012.gada jūlijā drīz pēc trojieša atklāšanas. Pašlaik kaitīgā programmatūra ir neaktīva, gaidot komandas no serveriem. Kopš 2012.gada maija beigām Kaspersky Lab uzraudzības mākoņsistēma ir konstatējusi vairāk nekā 2,5tūkstošus inficēšanas gadījumu. Kopējais Gauss upuru skaits var būt desmitiem tūkstošu. Tas ir mazāk nekā datortārpam Stuxnet, bet ievērojami vairāk nekā Flame un Duqu. Gauss nosūta uz vadības serveri sīku informāciju par inficēto datoru, ieskaitot pārlūkprogrammas vēsturi, sīkdatnes, paroles un datus par sistēmas konfigurāciju. Gauss analīzes rezultāti norāda, ka trojieša galvenais mērķis ir vairākas Libānas bankas, tostarp Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank un Credit Libanais. Turklāt tas bija vērsts pret Citibank klientiem un elektroniskās norēķinu sistēmas PayPal lietotājiem.