Kaspersky: Spionage-Malware ‘Gauss’ stammt aus der Stuxnet-Fabrik

Hinter Gauss, so melden die Experten des russischen Sicherheitsexperten Kaspersky Labs, steckten dieselben staatlich gestützten “Fabriken”, die auch für Stuxnet, Duqu und Flame verantwortlich seien.

Gauss sei etwa seit August oder September 2011 im Nahen Osten aktiv und im Juni 2012 entdeckt worden, schreibt Kaspersky im Securelist-Blog. Allerdings seien die Befehlsserver im Juli geschlossen worden. Seitdem warte der Schädling offenbar auf neue Anweisungen.

Das neue Cyberspionage-Tool kann laut Kaspersky Informationen über Netzwerkkarten, Computerlaufwerke und BIOS-Eigenschaften sammeln und an die Autoren hinter der Malware übermitteln. Zur Infektion über USB-Sticks verwende Gauss dieselben Schwachstellen wie Stuxnet und Flame.

Der Schädling schütze sich gegen seine Entdeckung dadurch, dass er sich von der betroffen Festplatte wieder löscht. Die gesammelten Daten speichere es dann auf Wechseldatenträgern in einer versteckten Datei.

Den Sicherheitsforschern zufolge hat Gauss seit Mai 2012 mehr als 2500 Computer im Libanon infiziert. Wahrscheinlich gebe es “mehrere Zehntausend” Opfer der Malware. Die Zahlen seien niedriger als bei Stuxnet, aber höher als bei den Angriffen mit Flame und Duqu.

Bisher habe Gauss vor allem Daten von der Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank und Credit Libanais entwendet. Kunden der Citibank und PayPal-Nutzer seien ebenfalls betroffen. Unklar ist, ob Gauss ebenso wie Flame bisher unbekannte Sicherheitslücken nutzt, um sich zu verbreiten.

“Da wir den Infektionsweg noch nicht kennen, gibt es eindeutig die Möglichkeit, dass ein unbekannter Exploit verwendet wird. Man sollte darauf hinweisen, dass die Mehrheit der Gauss-Opfer Windows 7 nutzt, das gegenüber dem .LNK-Exploit von Stuxnet immun sein sollte. Daher können wir nicht mit Sicherheit bestätigen, dass Gauss keine Zero-Day-Lücken verwendet”, so die Kaspersky-Experten in dem Blog.

Allerdings ist Gauss nur ein Modul in dieser komplexen Software, wenn auch laut Ansicht von Kaspersky das weitaus wichtigste, da es für das Stehlen der Daten verantwortlich ist. Andere Module sind ebenfalls nach großen Mathematikern und Philosophen wie Kurt Godel, Johann Carl Friedrich Gauss oder Joseph-Louis Lagrange benannt.

Die meisten Infektionen gibt es laut Kaspersky im Libanon. Aber auch andere Regionen sind von dem Schädling betroffen. Auch hier gibt es auffällige Parallelen zwischen den Schädlingen Ducu, Stuxnet, Flame und Mahdi.

Quelle: Kaspersky Labs

[mit Material von Stefan Beiersmann, ZDNet.de]

Redaktion

Recent Posts

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

46 Minuten ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

17 Stunden ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

18 Stunden ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

20 Stunden ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago

Privates 5G-Netz für Rheinhäfen Karlsruhe

Über das private 5G-Campusnetz will das Unternehmen logistische Prozesse digitalisieren und künftig in Echtzeit steuern.

2 Tagen ago