Gauss, il nipote di Stuxnet

Con Flame condivide una parte del codice utilizzato, con qualche differenza sul piano della infrastruttura. E una differenza fondamentale: al contrario dei suoi precedessori, Gauss sembra interessato a password e informazioni sui conti bancari delle vittime. E si concentra soprattutto sui PC degli abitanti del Libano.

Sul piano tecnico, quanto svelato oggi da Kaspersky Lab è un ormai classico malware modulare in grado di aggiornare alcune parti di sé stesso e ampliare le propri funzioni scaricando pacchetti da Internet. Alcuni moduli, come nei casi precedenti, raccolgono informazioni sulla macchina infettata: dettagli su BIOS e CMOS, numero e tipo di dischi installati, interfacce di rete e configurazioni dei domini locali. In più, la novità più interessante di Gauss è la presenza di un modulo specifico per la raccolta di cookie, password e credenziali conservate all’interno del browser: tutto inviato via Rete al centro di comando&controllo (C&C).

L’analisi del codice e delle caratteristiche di Gauss hanno convinto gli analisti Kaspersky che si tratti del successore di Stuxnet, Flame e Duqu: ci sono molte somiglianze soprattutto tra Gauss e Flame , con codice condiviso e impostazioni simili della struttura del malware (i domini del centro C&C sono registrati a nomi fittizi residenti a indirizzi che corrispondono a edifici pubblici, per esempio), così come la distribuzione geografica principale dell’infezione. Il Medio Oriente è ancora una volta l’epicentro , in particolare il Libano guida la classifica con più di 1.600 infezioni registrate: proprio le banche locali e i servizi di pagamento sembrano essere i principali obiettivi di Gauss, che come detto al contrario di Flame e Stuxnet dispone di un modulo specifico per il furto delle credenziali. Inoltre, Gauss archivia le proprie configurazioni nel Registro di sistema: in altre parole, queste impostazioni possono essere variate in un secondo momento.

Per il momento l’infezione partita nell’autunno 2011 pare circoscritta a Libano, Israele e Palestina e al Medio Oriente in particolare. I sistemi interessati sono quelli Windows, ma l’ultimo service pack e gli ultimi aggiornamenti di sicurezza dovrebbero costituire una valida barriera: la modifica del meccanismo di autoplay e l’aggiornamento di alcune componenti rendono di fatto inefficace una parte delle funzioni di Gauss. Un modulo in particolare del malware inoltre, denominato dskapi.ocx , è stato disegnato per risiedere su una chiavetta USB infetta e carpire informazioni dai sistemi 64bit (Gauss è un prodotto 32bit) senza tuttavia infettare il PC ospite. Altra peculiarità: il malware installa una font, Palida Narrow, azione di cui al momento si ignora il significato.

La conoscenza di Gauss fino a questo punto porta Kaspersky a concludere che si tratti dell’ ennesimo esempio di “malware di stato”, ovvero del prodotto dell’azione di un gruppo di sviluppatori con risorse e intenti apparentemente riconducibili a tensioni internazionali e offensive mirate . Certo stona un po’ il modulo di furto di credenziali bancarie, ma anche questo potrebbe far parte di una strategia. Infine, ci sono alcuni payload scaricati dal malware che risultano pesantemente cifrati: al momento non è stato possibile scoprire quali siano le funzioni o le informazioni nascoste in questi pacchetti, che potebbero essere attivati più avanti. La progressione temporale con cui le infezioni di Stuxnet, Flame, Gauss e in misura minore Duqu si sono succedute porta comunque gli analisti della azienda russa a puntare il dito su un fenomeno costante che andrebbe letto in chiave complessiva per adottare misure concrete per essere arginato.

Luca Annunziata