Richard Silverstein
Tikun Olam
(Traducido para Sleepwalkings por Ariel Millahüel (Arielev))
ACTUALIZACIÓN : Acabo de tener un intercambio de correos electrónicos con Costin Raiu, un especialista en seguridad informática de Kaspersky, y ha ampliado mi comprensión de Gauss (aunque la teoría a continuación es puramente mía).
Hay algunos misterios fascinantes que quedan por descubrir sobre este virus. En primer lugar, busca equipos que no están conectados a Internet. A continuación, los infecta a través del uso de una memoria USB, el mismo método por el cual se extendió Stuxnet.
Así que tenemos que averiguar por qué deberían centrarse en un ordenador sin conexión a Internet. Posiblemente, porque tal equipo se desconecta con el fin de protegerse de contraer un virus. Este equipo es probable que contenga información valiosa que el dueño no querría comprometer o que sea robada. Como usted leerá a continuación, esta vez nos lleva a Hezbolá, los que probablemente tendrían tales secretos que se desean proteger y los que los ciber-expertos israelíes quieren robar.
Leyendo a continuación, usted también verá que Gauss tiene una misteriosa “playload” [Nota: Playload hace referencia al "cuerpo" o carga del virus] o “cabeza” que Kaspersky aún no ha descifrado. Así que todavía no se sabe lo que está en el núcleo de este elemento crucial de la cyber-arma. Supongo que podría ser posible que todos los datos de un banco sean robados por Gauss en una finta y sus autores realmente quieren todavía mantener sellada esa Playload encriptada.
Me inclino a creer que Gauss está tratando de penetrar en la red de comunicaciones de Hezbolá, ya que los equipos de control no se están conectado a Internet. Ha habido una guerra a largo plazo entre ambos lados para espiar al otro y robar sus secretos y códigos de comunicación. Durante la guerra contra Hezbolá en el Líbano, probablemente con ayuda de Irán, se descifró la red militar de comunicaciones de la IDF [Nota: Fuerzas de Defensa de Israel] y podían escuchar a los comandantes que hablaban en el campo. Esta es una de las principales razones por las que las defensas de Hezbollah eran tan robustas y murieron tantos soldados israelíes.
Israel está muy motivado para hacer lo mismo con Hezbolá. Si los planes anteriores son para atacar a Irán, entonces el grupo libanés seguramente atacará a Israel en respuesta. Por lo tanto, se vuelve aún más importante que Israel sepa tanto como pueda acerca de cuáles son los planes de su enemigo. Aquí (y aquí ) son algunos de los anteriores intentos israelíes de penetrar las líneas de comunicación de Hezbolá.
**
Kaspersky Labs informa (y aquí ) una nueva infección de virus de computadora que usa algunos mismos códigos de codificación que Flame , una importante creación de malware en gran parte atribuida a expertos de Israel en guerra cibernética (probablemente afiliados a la Unidad 8200 del IDF):
Un análisis más en profundidad llevado a cabo en junio de 2012 resultó en el descubrimiento de una nueva plataforma, un malware desconocido que utiliza una estructura modular que se asemeja a Flame, una base de código similar y un sistema para comunicar a servidores C & C, así como otras numerosas similitudes con Flame.
En nuestra opinión, todo esto indica claramente que la nueva plataforma que hemos descubierto y que hemos denominado ‘Gauss’, es otro ejemplo de un conjunto de herramientas de espionaje cibernético basadas en la plataforma de Flame.
Gauss es un proyecto desarrollado en el período 2011-2012 en la misma línea del proyecto de Flame. El malware se ha distribuido activamente en el Medio Oriente por lo menos durante los últimos 10 meses. El mayor número de infecciones de Gauss se ha registrado en el Líbano, en contraste con Flame, que se extendió principalmente en Irán.
El virus parece la forma adecuada para interceptar la información relacionada con las transacciones bancarias del Líbano:
Funcionalmente, Gauss ha sido diseñado para recopilar tanta información sobre los sistemas infectados como sea posible, así como para robar las credenciales de los sistemas bancarios y diversas redes sociales, correos electrónicos y cuentas de mensajería instantánea. El código de Gauss incluye comandos para interceptar los datos necesarios para trabajar con varios bancos libaneses – por ejemplo, el Banco de Beirut, el Banco de Byblos, y Fransabank.
Esto me dice una cosa inmediata: dado el incremento en los ataques terroristas contra objetivos israelíes en los últimos meses, Israel está tratando de seguir el rastro de las transacciones financieras por parte de los intereses de Hezbolá-Siria-Irán en el Líbano. Aunque no está claro específicamente lo que podrían estar buscando, es muy posible que estos ataques terroristas y sus autores estén utilizando instituciones financieras libanesas para financiar sus actividades. También es posible que los bancos iraníes podrían estar utilizando al Líbano como una salida para las transacciones financieras entre empresas que eluden las sanciones internacionales.
Varios aspectos clave del código llevan el nombre de varios personajes de la historia de las matemáticas. Esto parece ser un intento de los hackers de jactarse de su formación académica en el campo. Pienso que se supone que los hace sentir que no son ordinarios y corrientes piratas informáticos baratos, sino cultos. No estoy seguro de que sus profesores de matemáticas compartan su orgullo por las formas en las que han puesto su entrenamiento en práctica.
Es inquietante, la guerra cibernética parece haber adoptado el lenguaje de las armas nucleares . Los expertos han señalado que Gauss contiene una misteriosa “cabeza” y “Playload”
“Gauss es un troyano bancario patrocinado por un estado-nación que lleva una ojiva de designación desconocida.” Además de robar varios tipos de datos de los infectados de las máquinas con Windows, también incluye una carga desconocida, cifrada, que se activa en determinadas configuraciones específicas del sistema.
Curiosamente, aquellos que estudian a Gauss aún no pueden entender qué busca la configuración del virus en el equipo de destino antes de que decidida atacarlo.
Una de las formas en que la el virus recoge información financiera es mediante la búsqueda de las cookies relacionadas con la tarjeta de crédito y otras transacciones en línea. También busca en el historial de navegación y las contraseñas registradas. Esto le permitiría a los hackers penetrar verdaderamente en las cuentas bancarias y, o bien utilizarlas, o ver su historial de transacciones. Los Servidores a los que la información fue subida se encuentra en la India, Portugal, y el Gauss de EE.UU. ha estado en existencia desde hace un año.
Teniendo en cuenta que esta infección no parece dirigirse a los bancos iraníes en concreto, parece que los hackers israelíes estaban buscando específicamente las transacciones bancarias relacionadas con gran parte de Hezbolá en el Líbano. Otro factor interesante que Kaspersky tiene en cuenta es que uno de los nombres de los módulos contiene a “Gauss White.” En árabe y en hebreo la palabra Líbano se deriva de la raíz LVN ”blanco.” Esto sería un indicio más de que los piratas informáticos hablaban una lengua semítica como el árabe o el hebreo y sus objetivos eran principalmente en el Líbano.
Había menos de la mitad de las penetraciones de muchos de los equipos de Israel y los Territorios Ocupados como en el Líbano (750 a 1.600). Si los israelíes son los culpables, puede ser que deseen seguir el rastro de las transacciones financieras desde el Líbano a otros Territorios para determinar si Hezbolá podrían estar financiando actividades terroristas a través de bancos locales palestinos.
No puedo responder a la pregunta de por qué los ciberguerreros israelíes han infectado los ordenadores de su propio país, si su objetivo final fue la interceptación de datos bancarios del Líbano. Supongo que al igual que Stuxnet, accidentalmente se han infectado computadoras en todo el mundo y fuera de sus objetivos iraníes específicos; esas infecciones israelíes son las accidentales o los errores. Es marginalmente posible que los piratas informáticos iraníes están tratando de seguir las pistas financieras en el Líbano y o Israel. A pesar de eso parece que la lógica es difícil de comprender.
Es difícil saber si Gauss, como Stuxnet, fue un proyecto conjunto Estados Unidos-Israel. Si Gauss fue metido de forma adecuada para la actividad Irán financiera a continuación, EE.UU. podría estar involucrado. Si se estaba apuntando a Hezbolá en concreto, creo que EE.UU. estarían menos interesado y menos propenso a ser un socio para su desarrollo.
Kaspersky, por desgracia, no ha sido capaz de determinar el método por el cual Gauss infecta los ordenadores que ataca.
