Gauss auf Streifzug in libanesischen Banken

Originalartikel von Trend Micro

Der Gauss-Angriff hat auch durch denVergleich mit Flame viel öffentliche Aufmerksamkeit auf sich gezogen. Der Schädling kann systembezogene Informationen sammeln sowie Zugangsdaten zu Bankkonten, sozialen Netzwerken, E-Mail und Instant Messaging stehlen. Bedrohungsexperten äußerten auch den Verdacht, es handle sich um einen neuen geheimdienstlich initiierten Angriff, ähnlich Stuxnet in 2010.

Ähnlichkeiten mit Flame

Manche werden sich erinnern, Flame würde als Cyberspionage-Tool bezeichnet, das mithilfe von verschiedenen Techniken, einschließlich dem Abfangen von Screen Shots und Audioaufnahmen, Informationen stiehlt. Ähnlich wie Flame hat Gauss Angriffe in mehreren Staaten des Mittleren Ostens gestartet.

Darüber hinaus haben die beiden Schädlinge einige technische Gemeinsamkeiten:

  • Beide sind in der Programmiersprache C++ geschrieben,
  • nutzen dieselbe .LNK-Schwachstelle aus (CVE-2010-2568),
  • verwenden USB als Speichermedium für die gestohlenen Daten,
  • sind auf den Diebstahl von Browser-History/Cookies ausgerichtet,
  • verwenden dieselbe Verschlüsselungsmethode (XOR) und
  • enthielten ähnliche Command and Control (C&C) Strukturen.

Aus diesen Gemeinsamkeiten schlossen die Sicherheitsforscher, dass Gauss das Werk derselben Leute sei, die auch Flame entwickelt hatten. Doch trotz der Ähnlichkeiten war Gauss darauf ausgerichtet, Informationen von  libanesischen Banken wie etwa Bank of Beirut, BlomBank, ByblosBank, FransaBank und Credit Libanais zu stehlen. Auch zielten die Angriffe des Schädlings des weiteren auf Unternehmen wie Citibank und Paypal. Für einige Fachleute war diese Fokussierung auf libanesische Banken der Beweis dafür, dass der Angriff von einem gewissen Staat unterstützt wurde.

Die Lösungen von Trend Micro schützen die Nutzer vor dieser Art von Angriffen, den die Services des Smart Protection Networks entdecken und löschen die damit verbundene Malware. Auch blocken sie den Zugang zu den C&C-IP-Adressen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*