هدف, کنترل عملیات بانکی در خاورمیانه است

«گاوس» جدیدترین ویروس برای حمله سایبری

به دنبال انتشار خبرهایی درخصوص کشف بدافزار جدیدی به نام «Gauss» که فعالیت عمده آن در منطقه خاورمیانه است و به نظر می‌رسد هدف اصلی آن، کنترل عملیات بانکی و سرقت مجوزهای دسترسی به حساب‌های بانکی در بانک‌های شناخته‌شده در منطقه خاورمیانه باشد، شرکت‌های امنیتی در حال واکنش به این اخبار بوده و هر یک اطلاعیه‌ای در این زمینه منتشر می‌کنند. مرکز رمزنگاری و امنیت سیستم (CrySys) مستقر در دانشگاه بوداپست مجارستان هم که قبلا فعالیت‌های گسترده‌ای درباره ویروس‌های Stuxnet، Duqu و Flame داشته، این‌بار نیز ضمن انتشار جزییاتی درباره بدافزار «Gauss»، اقدام به ارایه یک ابزار شناسایی کرده است. ابزار شناسایی CrySys به دنبال فونت Palida Narrow در سیستم‌های کامپیوتری جست‌وجو می‌کند. بررسی‌ها نشان داده بدافزار «Gauss» این فونت اختصاصی را روی سیستم‌های آلوده قرار می‌دهد. شرکت Kaspersky نیز به همین شیوه و با کمی تغییرات، ابزاری برای کنترل سیستم‌ها و شناسایی بدافزار «Gauss» ارایه کرده است. هنوز به طور یقین مشخص نشده هدف بدافزار «Gauss» از قرار‌دادن فونت Palida Narrow روی سیستم‌های آلوده چیست، ولی این احتمال وجود دارد که این بدافزار با استفاده از این فونت به دنبال سوءاستفاده از یک نقطه‌ضعف جدید و ناشناخته در نرم‌افزار Office باشد. شرکت ضدویروس Symantec نیز با انتشار هشداری، اطلاعات منتشرشده درباره بدافزار «Gauss» را مورد تایید قرار داده و اعلام کرد آخرین نسخه ضدویروس‌های Symantec این بدافزار را با نام W۳۲.» Gauss» شناسایی می‌کنند. پایگاه اطلاع‌رسانی شبکه‌گستر در این‌باره می‌نویسد شواهد اولیه نشان می‌دهد ساختار و عملکرد این جاسوس‌افزار مشابه ویروس‌های مشهور اخیر (stuxnet و Flame) که در حملات سایبری علیه ارگان دولتی کشور دخالت داشتند، است. طبق هشدار امنیتی شرکت McAfee، این بدافزار مانند ویروس‌های Stuxnet و Flame از بخش‌های مستقلی تشکیل شده که در کنار همدیگر، به صورت یکپارچه عمل می‌کنند. هر بخش مسوولیت و عملکرد خاصی را بر عهده دارد. در نامگذاری هر یک از بخش‌های این بدافزار از نام ریاضیدانان مشهور دنیا استفاده شده و بخش اصلی بدافزار دارای نام Gauss (ریاضیدان و فیزیکدان مشهور آلمانی) است. برخی از بخش‌های بدافزار Gauss که مورد بررسی و تحلیل کارشناسان شرکت McAfee قرار گرفته، نشان می‌دهد دارای قابلیت‌هایی نظیر افزودن برنامه‌های جانبی

(Plug-in)به‌مرورگرها،آلوده‌سازی حافظه‌های USB و اجرای دستورات Java و Active X هستند. بر اساس اطلاعیه شرکت McAfee، هدف اصلی بدافزار Gauss جمع‌آوری مشخصات سیستم، مشخصات کارت شبکه و BIOS، مجوزهای پست الکترونیکی، مجوزهای سایت‌های اجتماعی و مجوزهای دسترسی به سیستم‌های بانکداری الکترونیکی است. جمع‌آوری هر یک از این اطلاعات نیز بر عهده بخش‌های مختلف بدافزار Gauss است. بدافزار Gauss برای رسیدن به اهداف مورد نظر، مانند ویروس‌های هم‌خانواده قبلی خود، از نقاط ضعف سیستم عامل و نرم‌افزارهای کاربردی سوءاستفاده می‌کند. بدافزار جدید Gauss این قابلیت را هم دارد که تحت شرایط خاص، حافظه‌های USB را که قبلا آلوده کرده، پاکسازی کند و از آنها برای نقل و انتقال اطلاعات جمع‌آوری‌شده از سیستم‌هایی که به اینترنت دسترسی ندارند تا مستقیما با مرکز فرماندهی Gauss ارتباط برقرار کنند، استفاده کند. این عمل می‌تواند نشان‌دهنده این باشد که بدافزار Gauss به دنبال سیستم‌های مهم و حساسی است که اغلب به روز نمی‌شوند. نقطه ضعف مورد بحث، دو سال قبل پس از کشف ویروس Stuxnet به طور اضطراری توسط شرکت مایکروسافت ترمیم و اصلاح شد. ولی سیستم‌های مهمی که امکان توقف و راه‌اندازی مجدد (Reboot) آن وجود ندارد یا به اینترنت متصل نیستند تا از این طریق مورد حمله و آسیب قرار گیرند، احتمالا هنوز فاقد این اصلاحیه مایکروسافت هستند و همچنان نسبت به این نقطه ضعف آسیب‌پذیرند. کارشناسان شرکت ضدویروس Kaspersky هم معتقد هستند هدف اصلی بدافزار Gauss کنترل عملیات بانکی در بانک‌های خاورمیانه برای جمع‌آوری اطلاعات از نقل و انتقالات مالی مرتبط با برخی گروه‌های سیاسی و نظامی منطقه است. طبق اعلام Kaspersky، بدافزار Gauss قابلیت تشخیص و کنترل حساب‌های بانکی در بانک‌های Bank of Beirut، FBLF، Bloom Bank، Byblos Bank، Fransa Bank و Credit lebanais را دارد. همچنین مشاهده شده که عملیات کاربران ساکن در خاورمیانه در سایت‌های بانک C‌tibank و سایت مالی PayPal نیز تحت نظر این بدافزار قرار داشته‌اند. میزان آلودگی به بدافزار Gauss چندان مشخص نیست ولی تصور نمی‌شود که گسترده باشد. برخی آمارهای آلودگی به چند صد تا چند هزار سهم سیستم آلوده اشاره می‌کنند. اغلب این سیستم‌های آلوده در کشور لبنان، حکومت مستقل فلسطین و اسراییل شناسایی شده‌اند. تاکنون هیچ گزارشی از آلوده شدن به ویروس Gauss در ایران دریافت نشده است. طبق اعلام برخی مراکز و شرکت‌های امنیتی، ویروس Gauss دو ماه قبل برای اولین بار مشاهده شد ولی قبل از آنکه عملکرد و رفتار آن مورد بررسی و تحقیق قرار گیرد، با از کار افتادن مرکز فرماندهی Gauss، فعالیت بدافزار نیز متوقف شد. در حال حاضر نیز بدافزار Gauss غیرفعال است و بدون ارتباط با مرکز فرماندهی، هیچ عملیاتی را انجام نمی‌دهد. البته بر اساس برخی مدارک و شواهد، تعدادی از کارشناسان امنیتی معتقدند این بدافزار از یک سال قبل فعال بوده است. شرکت‌ها و مراکز امنیتی مختلف در حال انتشار هشدارها و ابزارهای شناسایی و پاکسازی بدافزار Gauss هستند.