ENGINEERINGNET - Kaspersky Lab heeft onlangs Gauss ondekt, een complexe, door een natiestaat gesponsorde cyberspionagetoolkit. Experts van het bedrijf publiceerden er een onderzoek over waarin de primaire functies en kenmerken, de architectuur, de unieke modules, de communicatiemethoden en de infectiestatistieken van de malware werden geanalyseerd.
Maar er blijven naar verluidt 'nog altijd een aantal mysteries en onbeantwoorde vragen over Gauss'. Een van de meest intrigerende aspecten is gerelateerd aan de gecodeerde payload van Gauss.
Zoals Kaspersky wel meer doet, nodigt het ook in dit geval iedereen met een interesse in cryptografie, reverse-engineering of wiskunde uit om te helpen bij het vinden van de decryptiesleutels en de verborgen payload te decoderen.
De gecodeerde payload bevindt zich in de USB-data stelende modules van Gauss en is ontworpen om zich te richten op een bepaald systeem (of systemen) waarop een specifiek programma is geïnstalleerd.
Zodra een besmette USB-stick wordt aangesloten op een kwetsbare computer, wordt de malware uitgevoerd en probeert het de payload te decoderen door het creëren van een sleutel om het te ontgrendelen.
De sleutel wordt ontleend uit specifieke configuraties van de machine. Zo bevat het bijvoorbeeld de naam van een map in Program Files, waarvan het eerste teken uit een uitgebreid karakterset, zoals Arabisch of Hebreeuws, moet komen. Als de malware de betrokken systeemconfiguraties identificeert, zal het met succes de payload openen en uitvoeren.
"Het doel en de functies van de gecodeerde payload is op dit moment nog steeds een mysterie", zegt Aleks Gostev, Chief Security Expert bij Kaspersky Lab. "Het gebruik van cryptografie en de voorzorgsmaatregelen die de ontwikkelaars hebben getroffen om deze payload te verbergen, wijzen erop dat zijn doelwitten hoog gekwalificeerd zijn. De grootte van de payload is ook verontrustend. Het is groot genoeg om codering te bevatten die gebruikt kan worden voor cybersabotage vergelijkbaar met Stuxnet's SCADA-code".
ACHTERGROND
Wie interesse heeft, neemt contact via theflame@kaspersky.com
