Kaspersky Lab scopre il trojan Gauss e lancia un appello online a matematici e crittografi per decifrarne una parte.


Alcuni giorni fa la Kaspersky Lab, nota società Russa di sicurezza informatica, ha annunciato la scoperta di un nuovo virus informatico. In pratica si tratta di un trojan, (conosciuto anche con il nome trojan horse; in italiano "cavallo di troia", poiché le sue funzionalità risultano nascoste all'interno di un software apparentemente utile), capace di sottrarre molti dati e che, in questo specifico caso, è stato maggiormente operativo in Libano ed in altre nazioni del Medio Oriente e dell'Africa. In sosanza questo trojan è stato chiamato con il nome di Gauss, (classificato come Trojan-Spy.Win32.Gauss), e, secondo la Kaspersky Lab, si tratta di un completo e complesso toolkit per lo spionaggio informatico commissionato da qualche governo, con lo scopo di rubare dati sensibili e con una particolare attenzione per le password dei browser e gli account dei conti bancari online. Infatti la stessa società di sicurezza informatica ha fatto sapere che Gauss si focalizza maggiormente sulle banche e sui dati finanziari e che il suo codice di trojan è stato usato per rubare informazioni quali: browser history, cookiepassword e credenziali relative agli account di banking online; ma anche i dettagli delle unità del computer e le caratteristiche del BIOS. Inoltre gli esperti di Kaspery Lab hanno dichiarato: "Questo virus è anche in grado di rubare le credenziali di accesso a varie banche Libanesi come Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank e Credit Libanais"; in più, come se non bastasse, sono stati presi di mira anche alcuni utenti di Citibank e PayPal. Comunque al momento gli analisti della società non hanno trovato modo di accedere ad alcune parti del suddetto trojan, ma, come successo in altri casi precedenti, è probabile che per arrivare a decifrarle basterà solo un po' più di tempo. In particolare quello che finora non è stato possibile decifrare è un frammento di Gauss, al quale coloro che hanno realizzato questo cavallo di troia, (più o meno un anno fa), hanno assegnato il nome "Godel"; che è ispirato a Kurt Gödel, il matematico autore dei celebri "Teoremi di incompletezza". Oltretutto anche ad altre componenti del trojan sono stati attribuiti nomi di noti logici e filosofi, come "Lagrange", (che deriva dal matematico Joseph-Louis Lagrange), oppure il nome stesso del virus informatico, Gauss, che proviene dal matematico Carl Friedrich Gauss. In ogni caso per riuscire a trovare la chiave per aprire "la serratura digitale" saranno necessari dei crittografi, (degli esperti di complesse analisi matematiche), ma quest'ultimi dovranno avere capacità al di fuori dal comune; infatti, stando a quanto ha fatto sapere la società Russa, in queso caso servono competenze che risultano piuttosto limitate nel mondo. In tal proposito la Kaspery Lab attraverso il proprio blog aziendale ha deciso di divulgare una sorta di appello alla collaborazione, assieme ad alcuni frammenti dei codici trovati. Per di più dalle prime analisi è emerso che Gauss si propaga attraverso pendrive infette e dunque raggiunge anche Pc ed altri dispositivi che non sono connessi ad Internet. Allo stesso tempo il processo di infezione delle chiavi USB risulta in qualche modo più "intelligente" rispetto a quello utilizzato dalle cyber-armi precedenti. Infatti in presenza di determinate circostanze, Gauss è in grado di "auto-disinfettare" l'unità, ed, inoltre, si avvale dei supporti rimovibili per memorizzare in un file nascosto le informazioni raccolte. Un'altra attività svolta dal trojan è rappresentata dall'installazione di un font speciale, chiamato Palida Narrow, ma tuttavia lo scopo di tale azione rimane ancora sconosciuto. In aggiunta, sempre secondo la Kaspersky Lab, questo trojan appartiene alla stessa linea genealogica di altri software progettati per la cyber-intrusione scoperti di recente, come DuquStuxnet e Flame, (considerato il virus più potente della storia). Al riguardo Alexander Gostev, Chief Security Expert di Kaspersky Lab ha dichiarato: "Gauss presenta somiglianze davvero impressionanti con Flame, quali ad esempio, la particolare concezione e le basi dei codici; questo ci ha permesso di giungere piuttosto rapidamente alla scoperta del nuovo trojan. Quest'ultimo, dotato di caratteristiche simili a Flame e Duqu, è un toolkit di cyber-spionaggio particolarmente complesso, la cui realizzazione evidenzia specifiche peculiarità di segretezza e furtività; in ogni caso gli scopi da esso perseguiti risultano diversi dai target a cui mirano Flame o Duqu. In effetti Gauss intende colpire un considerevole numero di utenti in determinati Paesi, allo scopo di compiere il furto di grandi quantità di dati, con una particolare predilezione per le informazioni di natura bancaria e finanziaria". Mentre un portavoce della società, indicando che nonostante il virus sia stato scoperto a Giugno del 2012, pare che questo fosse attivo già dal Settembre 2011, ha spiegato: "Dopo aver analizzato il codice dei tre virus informatici possiamo affermare con una certa sicurezza che i tre provengono dalla stessa fabbrica". Tuttavia questa non è la prima volta che la società di sicurezza informatica affronta un ostacolo in apparenza insormontabile con il contributo delle comunità sul web; infatti alcuni mesi fa venne scoperto un altro cavallo di troia digitale, chiamato Duqu, e per diverse settimane la società non era stata in grado di decifrare l'origine di una parte dei suoi codici. Ma, infine, grazie anche agli indizi forniti da alcuni sviluppatori software nelle discussioni su alcuni forum e blog, il tutto venne risolto ed il virus decifrato. Ad ogni modo i server di controllo di Gauss hanno misteriosamente smesso di funzionare nel Luglio scorso e, come già detto, delle circa 2.500 vittime, più della metà si trovano in Libano e la maggior parte degli attacchi sono stati registrati in Medio Oriente. Ma in ogni caso qual'ora qualcuno volesse sapere se è stato infettato o meno da Gauss, potrebbe utilizzare il tool messo a disposizione dalla Kaspersky Lab oppure quello online fornito dal Laboratory of Cryptography and System Security, (conosciuto anche con la sigla CrySyS Lab).

Commenti