Gauss présente une caractéristique unique, encore jamais détecté dans les cyberarmes précédentes, un cheval de Troie visant la banque en ligne.

Gauss a été identifié dans le cadre des travaux en cours lancés par l’Union Internationale des Télécommunications (UIT), à la suite de la découverte du malware Flame. Ces travaux visent à atténuer les risques présentés par les cyberarmes, un effort déterminant en direction de l’objectif ultime d’une cyberpaix mondiale.

L’UIT, avec le concours des experts de Kaspersky Lab, prend d’importantes mesures pour renforcer la cybersécurité en collaborant activement avec l’ensemble des parties prenantes concernées, aux côtés de ses partenaires stratégiques au sein de l’initiative ITU-IMPACT.

Les experts de Kaspersky Lab ont découvert Gauss en repérant ses points communs avec le programme malveillant Flame, à savoir des similitudes relatives aux plates-formes architecturales, à la structure des modules, au code source et aux moyens de communication avec les serveurs de commande et de contrôle (C&C).

En bref :

 ? L’analyse indique que Gauss est opérationnel depuis septembre 2011 environ.

 ? Il a été découvert pour la première fois en juin 2012, grâce aux enseignements tirés de l’analyse et des études approfondies menées sur Flame.

 ? Cette découverte a été rendue possible grâce aux fortes ressemblances et corrélations entre Flame et Gauss.

 ? L’infrastructure C&C de Gauss a été neutralisée en juillet 2012 peu après sa découverte. A l’heure actuelle, ce malware est à l’état dormant, attendant l’activation de ses serveurs C&C.

 ? Depuis la fin mai 2012, plus de 2500 infections par Gauss ont été enregistrées par le système de sécurité dans le cloud de Kaspersky Lab, pour un nombre total de victimes estimé à plusieurs dizaines de milliers. Ce chiffre est inférieur à celui observé dans le cas de Stuxnet mais nettement supérieur à celui des attaques Flame et Duqu.

 ? Gauss dérobe des informations détaillées sur les machines infectées : historique du navigateur, cookies, mots de passe, configurations système. Il est également capable de voler des identifiants d’accès pour différents systèmes bancaires et modes de paiement en ligne.

 ? Son analyse révèle qu’il a été conçu pour voler des données auprès de plusieurs banques libanaises, notamment Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank et le Crédit Libanais. Gauss cible en outre les utilisateurs de Citibank et PayPal.

Ce nouveau malware a été découvert par les experts de Kaspersky Lab en juin 2012. Son module principal a reçu (de ses mystérieux créateurs) le nom du mathématicien allemand Johann Carl Friedrich Gauss. D’autres composants portent également les noms de savants illustres, tels Joseph-Louis Lagrange et Kurt Gödel. L’enquête a révélé que les premiers incidents impliquant Gauss remontent à septembre 2011. En juillet 2012, ses serveurs C&C ont cessé de fonctionner.

Les multiples modules de Gauss ont pour but de collecter des informations auprès des navigateurs Internet, en particulier l’historique des sites Web fréquentés et les mots de passe. Des données détaillées sur la machine infectée sont également transmises aux auteurs de l’attaque, notamment les spécificités des interfaces réseau, les périphériques de stockage et le BIOS. En outre, le module Gauss est en mesure de voler des données aux clients de plusieurs banques libanaises, à savoir Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank et le Crédit Libanais. Il cible par ailleurs les utilisateurs de Citibank et PayPal.

Une autre spécificité marquante de Gauss tient à sa capacité d’infecter les clés USB, à travers la même vulnérabilité LNK précédemment exploitée par Stuxnet et Flame. Cependant, le processus d’infection des clés USB est plus astucieux. Gauss est en effet capable de « désinfecter » le support amovible dans certaines circonstances et s’en sert ensuite pour y stocker les diverses informations recueillies, dans un fichier caché. Une autre action du cheval de Troie consiste à installer une police de caractères spéciale appelée Palida Narrow, ayant un dessein encore inconnu à ce jour.

Si Gauss n’est pas sans rappeler Flame de par sa conception, cependant la répartition géographique de ses infections est différente. Les ordinateurs les plus nombreux touchés par Flame se situaient en Iran, tandis que la majorité des victimes de Gauss se trouve au Liban. La quantité de cibles infectées diffère également. D’après les analyses du réseau Kaspersky Security Network (KSN), Gauss a contaminé environ 2500 machines. A titre de comparaison, Flame a touché environ 700 machines.

Bien que la méthode exacte employée pour infecter les ordinateurs ne soit pas encore identifiée, il est clair que Gauss se repend différemment de Flame ou Duqu. Toutefois, à l’image de ces deux armes antérieures de cyberespionnage, ses mécanismes de propagation sont mis en œuvre de manière parfaitement contrôlée, souligne le secret qui entourant l’opération.

Alexander Gostev, expert en chef de la sécurité chez Kaspersky Lab, commente : « Gauss présente des ressemblances frappantes avec Flame, telles que sa conception et son code source, ce qui nous a permis de découvrir ce programme malveillant. Tout comme Flame et Duqu, Gauss est un kit complexe d’outils de cyberespionnage, développé avec soin et dans le plus grand secret. Cependant, son objectif est différent de celui de ses deux prédécesseurs. Il cible une multitude d’utilisateurs dans certains pays afin de leur dérober de grandes quantités de données, plus particulièrement des informations bancaires et financières. »

Jusqu’à présent, le cheval de Troie Gauss a été détecté, bloqué et neutralisé avec succès par les produits de Kaspersky Lab, sous la classification Trojan-Spy.Win32.Gauss.