Byte/RE ИТ-издание

Решения криптозадачи Gauss пока нет

По сообщению «Лаборатории Касперского», проведенный ее экспертами анализ вредоносной программы Gauss позволил получить информацию об основном функционале, характеристиках, архитектуре, модулях, способах связи с командными серверами, а также статистику заражений. Однако ряд вопросов, касающихся в основном зашифрованного содержимого Gauss, пока остается без ответа.

По словам специалистов компании, зашифрованный функционал троянца содержится в специальных модулях, отвечающих за кражу информации и хранение ее на USB-накопителе. Он позволяет атаковать только те системы, которые имеют определенный набор установленных программ. После того как зараженная флэшка подключается к уязвимому компьютеру, вредоносная программа активируется и пытается расшифровать содержимое с помощью специального ключа. Ключ же составляется на основании данных о специфической конфигурации системы инфицированного компьютера. Так, он включает название папки в разделе Program Files, первая буква которой написана символом из расширенного набора, например на арабском или иврите. Если конфигурация соответствует эталонной, ключ отдает команду на расшифровку и исполнение содержимого.

Вопросы о назначении и функционале зашифрованного модуля на сегодня остаются без ответа. По мнению экспертов, использование криптографических методов и меры, которые предприняли авторы зашифрованного модуля для того, чтобы он как можно дольше оставался незамеченным, говорят о высоком уровне целей злоумышленников. Размер зашифрованного модуля достаточно велик для того, чтобы содержать код, который можно использовать для кибершпионажа, и по размерам сравним с кодом модификации SCADA-систем в черве Stuxnet.

«Лаборатория Касперского» пригашает тех, кто интересуется криптографией, реверс-инжинирингом и математикой, и хочет принять участие в расшифровке ключей, связаться с экспертами по адресу theflame@kaspersky.com.

Вам также могут понравиться