Dutch IT Chanel Logo mobile
Search icon
Redactie - 15 augustus 2012

Kaspersky roept hulp cryptografen in tegen Grauss malware

Security


Kaspersky Lab heeft onlangs Gauss ondekt, een complexe, door een natiestaat gesponsorde cyberspionagetoolkit. Kaspersky Lab experts publiceerden een onderzoek over Gauss waarin de primaire functies en kenmerken, de architectuur, de unieke modules, de communicatiemethoden en de infectiestatistieken van de malware werden geanalyseerd. Echter, er zijn nog steeds een aantal mysteries en onbeantwoorde vragen over Gauss. Een van de meest intrigerende aspecten is gerelateerd aan de gecodeerde payload van Gauss.

Kaspersky Lab wil daarom graag iedereen met een interesse in cryptografie, reverse-engineering of wiskunde uitnodigen om te helpen bij het vinden van de decryptiesleutels en de verborgen payload te decoderen. Security-specialisten kunnen contact opnemen met Kaspersky Lab op via: theflame@kaspersky.com

Arabisch en Hebreeuws
De gecodeerde payload bevindt zich in de USB-data stelende modules van Gauss en is ontworpen om zich te richten op een bepaald systeem (of systemen) waarop een specifiek programma is geïnstalleerd. Zodra een besmette USB-stick wordt aangesloten op een kwetsbare computer, wordt de malware uitgevoerd en probeert het de payload te decoderen door het creëren van een sleutel om het te ontgrendelen. De sleutel wordt ontleend uit specifieke configuraties van de machine. Zo bevat het bijvoorbeeld de naam van een map in Program Files, waarvan het eerste teken uit een uitgebreid karakterset, zoals Arabisch of Hebreeuws, moet komen. Als de malware de betrokken systeemconfiguraties identificeert, zal het met succes de payload openen en uitvoeren.

Stuxnet
Het doel en de functies van de gecodeerde payload is op dit moment nog steeds een mysterie, zo zegt Aleks Gostev, Chief Security Expert, Global Research and Analysis Team, Kaspersky Lab. "Het gebruik van cryptografie en de voorzorgsmaatregelen die de ontwikkelaars hebben getroffen om deze payload te verbergen, wijzen erop dat zijn doelwitten hoog gekwalificeerd zijn. De grootte van de payload is ook verontrustend. Het is groot genoeg om codering te bevatten die gebruikt kan worden voor cybersabotage vergelijkbaar met Stuxnet's SCADA-code. Het decoderen van de payload zal een beter inzicht geven in de algemene doelstelling en de aard van deze dreiging."
Meer details en een technische beschrijving van het probleem zijn beschikbaar in  de blogpost op Securelist.com.

Door: Witold Kepinski

Dutch IT events

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!