Újabb taggal bővült a Stuxnet "család"

A PTA CERT-Hungary (Nemzeti Hálózatbiztonsági Központ) nemzetközi kapcsolatrendszerén keresztül egy új, a Stuxnet „családba” tartozó káros szoftverre hívja fel a figyelmet. A jelentés szerint a ”Gauss” névre keresztelt vírus elsősorban banki és egyéb hozzáférési adatokat gyűjt a fertőzött rendszerből, majd továbbítja azokat a Command and Control (C&C) szerverek felé. Egy biztonsági cég szerint a Gauss jelenleg elsősorban Libanonban, Izraelben és a Palesztin területeken aktív, de az Egyesült Államokból is jelentettek fertőzést. A káros szoftverről készült első elemzések és jelentések szerint nincs bizonyíték arra, hogy ipari vezérlő rendszereket (ICS) vagy az Egyesült Államok kormányügynökségeit célozná. A Kaspersky Lab által összegyűjtött információ szerint a Gauss különböző modulokat használ és a következő funkcionalitásokkal bír:

  • a moduljait beilleszti különböző böngészőkbe, hogy lehallgassa a felhasználó munkamenetét, valamint, hogy onnan ellopja a tárolt jelszavakat, sütiket valamint a böngésző előzményeket;

  • adatokat gyűjt a :

    • fertőzött számítógép hálózati kapcsolatairól;

    • a futó folyamatokról és a mappákról;

    • BIOS-ról és a CMOS RAM-ról;

    • helyi-, a hálózati- és a hordozható adattárolókról;

  • megfertőzi a hordozható adattárolókat egy információ gyűjtő modullal, hogy más számítógépekről is adatokat gyűjthessen;

  • telepít egy egyedi ”Palida Narrow” betűkészletet (ennek oka jelenleg ismeretlen);

  • biztosítja a eszközcsomag betöltését és működését, valamint a Command and Conrol (C&C) szerverekkel történő kommunikációt, a begyűjtött adatok továbbítása és az újabb modulok letöltése érdekében.

A káros szoftver elemzése során a szakemberek számos hasonlóságot fedeztek fel a Gauss és a Duqu, a Flame valamint a Stuxnet férgek között. Az hordozható adattárolókat érintő információ gyűjtő modul a Microsoft egy ismert, a .LNK kiterjesztésű fájlokat érintő sérülékenységét használja ki, amelyet a Stuxnet is használt. A sérülékenységről bővebb információ a következő linken olvasható: http://tech.cert-hungary.hu/vulnerabilities/CH-3355.

A jelentések szerint a hordozható adattárolókat fertőző információgyűjtő modul tartalmaz egy titkosított ”payload”-ot is, amely funkciója egyelőre ismeretlen.

Kockázatcsökkentés

Jelenleg nincs kidolgozott kockázatcsökkentő módszer, bár a Kasperksy jelentése számos támpontot ad. A PTA CERT-Hungary (Nemzeti Hálózatbiztonsági Központ) a kockázatok csökkentése érdekében a következőket javasolja:

  • Legyenek körültekintőek a hordozható adattárolók használatával, hogy meggátolják a Gauss terjedését.

  • Telepítsék a Windows frissítéseket CVE-2010-2568 sérülékenység javítására (http://tech.cert-hungary.hu/vulnerabilities/CH-3355).

  • Frissítsék az víruskereső szoftverek vírusdefiníciós adatbázisát, hogy azok felismerjék a Gauss-t.

  • Minimalizálják a vezérlő rendszerek hálózati kommunikációját, valamint ne kapcsolja azokat közvetlenül az Internetre.

  • Helyezze a vezérlő rendszerekhez tartozó hálózatai és távoli eszközöket tűzfal mögé és különítse el azokat a vállalati hálózattól.

  • Ahol távoli hozzáférés szükséges, használjon biztonságos módszereket, mint például a virtuális magánhálózatokat (VPN).