Kaspersky hat neues Cyberspionage-Tool entdeckt

Stefan Beiersmann,
SicherheitVirus
Kaspersky zufolge steht das Cyberspionage-Tool Gauss in direkter Beziehung zu Flame, Duqu und Stuxnet (Bild: Kaspersky)

Kaspersky hat ein neues Cyberspionage-Toolkit namens “Gauss” entdeckt. Es ist in der Lage, vertrauliche Daten wie Browser-Passwörter, Zugangsdaten für Online-Banking, Cookies und Systemeinstellungen zu stehlen. Kaspersky zufolge erinnert Gauss an die Malware Flame. Hinter Gauss steckten zudem dieselben staatlich gestützten “Fabriken”, die auch für Stuxnet, Duqu und Flame verantwortlich seien.

Gauss sei etwa seit August oder September 2011 aktiv und im Juni dieses Jahres im Nahen Osten gefunden worden, schreibt Kaspersky im Securelist-Blog. Seine Befehlsserver seien im Juli geschlossen worden. Seitdem sei die Schadsoftware untätig und warte auf neue Anweisungen.

Das neue Cyberspionage-Tool kann laut Kaspersky auch Informationen über Netzwerkkarten, Computerlaufwerke und BIOS-Eigenschaften sammeln und an seine Autoren übermitteln. Zur Infektion von USB-Sticks verwende Gauss dieselben Schwachstellen wie Stuxnet und Flame. Außerdem könne sich Gauss unter bestimmten Umständen von einer Festplatte löschen, um nicht entdeckt zu werden. Die gesammelten Daten speichere es dann auf Wechseldatenträgern in einer versteckten Datei.

Gauss infizierte Rechner im Libanon, sein “Verwandter” Flame verbreitete sich vor allem in Ländern des Nahen Osten (Grafik: Kaspersky)

Den Sicherheitsforschern zufolge hat Gauss seit Mai 2012 mehr als 2500 Computer im Libanon infiziert. Wahrscheinlich gebe es insgesamt “mehrere Zehntausend” Opfer der Malware. Die Zahlen seien niedriger als bei Stuxnet, aber höher als bei mit Flame und Duqu.

Bisher soll Gauss vor allem Daten von der Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank und Credit Libanais entwendet haben. Aber auch Kunden der Citibank und PayPal-Nutzer sind betroffen.

Unklar ist, ob Gauss ebenso wie Flame bisher unbekannte Sicherheitslücken nutzt, um sich zu verbreiten. “Da wir den Infektionsweg noch nicht kennen, gibt es eindeutig die Möglichkeit, dass ein unbekannter Exploit verwendet wird. Man sollte darauf hinweisen, dass die Mehrheit der Gauss-Opfer Windows 7 einsetzt, das gegenüber dem .LNK-Exploit von Stuxnet immun sein sollte.” Es lasse sich daher nicht völlig ausschließen, dass Gauss Zero-Day-Lücken verwende.

[mit Material von Larry Dignan, ZDNet.com]

Lesen Sie auch :

Die Bedeutung der IT-Haftpflichtversicherung und potenzielle Schadenersatzansprüche

Niederländische Polizei knackt Serverdaten von Blackberry-PGP-Smartphones

Angriffe auf Finanzinstitute ähneln Vorgehen der Sony-Hacker