Hace poco, Kaspersky Lab anunció el descubrimiento de Gauss, una compleja herramienta de espionaje patrocinada por un estado nacional. Gauss contiene muchas funciones capaces de robar información, que se concentran en robar contraseñas, credenciales de banca online y configuraciones del sistema de los equipos infectados. Los expertos de Kaspersky Lab descubrieron Gauss al analizar e identificar sus rasgos comunes con Flame. Desde finales de mayo de 2012 el sistema de seguridad “en la nube” de Kaspersky Lab ha detectado más de 2.500 infecciones, la mayoría de las cuales se encuentran en el Medio Oriente.
Los expertos de Kaspersky Lab han publicado una investigación sobre Gauss donde analizan sus principales funciones y características, además de su arquitectura, sus peculiares módulos maliciosos, métodos de comunicación y una estadística de las infecciones. No obstante, aun siguen sin resolver muchos misterios y quedan muchas preguntas sobre Gauss. Uno de los aspectos más intrigantes está relacionado con la “carga útil cifrada” de Gauss.
La carga útil cifrada está ubicada en los módulos USB de robo de datos y está diseñada para atacar un sistema (o sistemas) muy específico que tenga instalado un determinado programa. Una vez que una memoria USB se conecta a un equipo vulnerable, el malware se ejecuta y trata de descifrar la carga útil creando una llave para lograrlo. La llave se genera según configuraciones específicas del sistema. Por ejemplo, incluye el nombre de una carpeta en Archivos de Programas, cuyos primeros caracteres deben estar en un conjunto de caracteres extendido de idiomas como árabe o hebreo. Si el programa malicioso identifica las configuraciones del sistema apropiadas, desbloquea y ejecuta la carga útil con éxito.
“El objetivo y las funciones de la carga útil cifrada siguen siendo un misterio”, dice Alexandr Góstev, Jefe de Expertos en Seguridad del Equipo Global de Investigación y Análisis de Kaspersky Lab. “El uso de criptografía y las precauciones tomadas por el autor para esconder esta carga útil indica que sus blancos son de alto perfil. El tamaño de la carga útil es también algo inquietante. Es de un tamaño suficiente para contener código que puede usarse para sabotaje cibernético, similar al de SCADA de Stuxnet. Descifrar la carga útil nos dará una mejor comprensión de sus objetivos generales y de la naturaleza de esta amenaza”.
Kaspersky Lab quisiera invitar a todos los interesados en criptografía, ingeniería inversa o matemáticas a colaborar para encontrar las llaves de descifrado y desbloquear la carga útil oculta. Se puede encontrar más información y una descripción técnica del problema en nuestro blog en Securelist.com
Acerca de Kaspersky Lab
Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para terminales. La compañía está clasificada entre los mejores cuatro proveedores de soluciones de seguridad para usuarios de terminales*. A lo largo de sus 15 años de historia, Kaspersky Lab ha mantenido su posición como innovador de seguridad IT y ofrece soluciones de seguridad digital efectivas para consumidores, pequeñas y medianas compañías y corporaciones. La compañía actualmente opera en casi 200 países y territorios alrededor del globo, ofreciendo protección a más de 300 millones de usuarios a nivel mundial. Obtenga más información en www.kaspersky.com.