Анализ вредоносной программы Gauss, проведенный экспертами «Лаборатории Касперского», позволил получить информацию о ее основном функционале, характеристиках, архитектуре, модулях, способах связи с командными серверами, а также статистику заражений. Однако ряд вопросов, касающихся в основном зашифрованного содержимого Gauss, все еще остается без ответа.
Зашифрованный функционал троянца содержится в специальных модулях, отвечающих за кражу информации и хранение ее на USB–накопителе, и позволяет злоумышленникам атаковать только те системы, которые имеют определенный набор установленных программ. После того, как зараженная флэшка подключается к уязвимому компьютеру, вредоносная программа активируется и пытается расшифровать содержимое с помощью специального ключа. Ключ же составляется на основании данных о специфической конфигурации системы инфицированного компьютера. Так, например, он включает название папки в разделе Program Files, первая буква которой написана символом из расширенного набора, например на арабском или иврите. Если конфигурация соответствует «эталонной», ключ отдает команду на расшифровку и исполнение содержимого.
«На сегодняшний день вопросы о предназначении и функционале зашифрованного модуля остаются без ответа. Использование криптографических методов и меры, которые предприняли авторы зашифрованного модуля для того, чтобы он как можно дольше оставался незамеченным, говорят о высоком уровне целей злоумышленников, – говорит Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». – Особое внимание стоит уделить размеру зашифрованного модуля. Он достаточно велик для того, чтобы содержать в себе код, который может быть использован для кибершпионажа и по размерам сравним с кодом модификации SCADA–систем в черве Stuxnet. Расшифровка содержимого позволит лучше понять как источник этой угрозы, так и ее цели».
Взлом кода простым перебором вариантов находится за пределами возможностей современных компьютеров, и, несмотря на все усилия специалистов «Лаборатории Касперского», подобрать ключ пока не удалось.
Размер зашифрованного модуля достаточен для того, чтобы содержать программный код для атаки на промышленные системы управления, подобный тому, что был найден в черве Stuxnet, отмечают специалисты. Gauss и Stuxnet похожи и во многих других отношениях — в частности, для заражения они используют одну и ту же уязвимость в системе Windows.
«Лаборатория Касперского» призывает всех тех, кто интересуется криптографией, реверс–инжинирингом и математикой, и хочет принять участие в расшифровке ключей, связаться с экспертами по адресу theflame@kaspersky.com.