Kaspersky Lab mengumumkan penemuan ‘Gauss’, ancaman cyber terbaru dengan target pengguna Internet di Timur Tengah. Gauss adalah toolkit mata-mata cyber nation-state sponsored (dibiayai negara) yang kompleks dan didesain untuk mencuri data sensitif, dengan fokus khusus pada password browser, kredensial akun online banking, cookies dan konfigurasi spesifik dari mesin yang terinfeksi.
Fungsionalitas Trojan online banking yang ditemukan pada Gauss merupakan karakteristik unik yang tidak ditemukan pada senjata cyber yang ada sebelumnya.
Gauss ditemukan di sela-sela kegiatan yang dilakukan oleh International Telecommunication Union (ITU), terkait ditemukannya Flame. Kegiatan tersebut bertujuan memitigasi risiko yang ada pada senjata cyber dimana hal tersebut merupakan komponen kunci dalam mencapai tujuan dari perdamaian cyber global.
ITU, dengan bantuan keahlian dari Kaspersky Lab, mengambil langkah penting untuk memperkuat keamanan cyber global dengan secara aktif berkolaborasi dengan semua stakeholder yang relevan seperti pemerintah, sektor swasta, organisasi internasional dan masyarakat sipil, selain dengan partner kunci dalam inisiatif ITU-IMPACT.
Ahli Kaspersky Lab menemukan Gauss dengan mengidentifikasi kesamaan program berbahaya tersebut dengan Flame. Hal ini termasuk kesamaan dalam platform arsitektur, struktur modul, basis kode dan alat komunikasi dengan server command & control (C&C).
Fakta Singkat:
● Analisa mengindikasi bahwa Gauss mulai beroperasi pada September 2012.
● Pertama kali ditemukan pada Juni 2012, hasil dari pengetahuan yang didapat dari analisa mendalam dan penelitian yang dilakukan atas malware Flame.
● Penemuan ini terjadi karena adanya kesamaan dan korelasi yang kuat antara Flame dan Gauss.
● Infrastruktur C&C Gauss dimatikan pada Juli 2012 tak lama setelah ditemukan.
Saat ini malware dalam keadaan tidak aktif, menunggu server C&C aktif.
● Sejak akhir Mei 2012, sistem keamanan berbasis cloud Kaspersky Lab mencatat lebih dari 2.500 infeksi, dengan estimasi total korban Gauss mencapai puluhan ribu. Jumlah ini lebih rendah dibandingkan kasus Stuxnet namun lebih tinggi dari serangan Flame dan Duqu.
● Gauss mencuri informasi rinci dari PC yang terinfeksi termasuk browser history, cookies, password, dan sistem konfigurasi. Gauss juga mampu mencuri kredensial akses untuk beragam sistem online banking dan metode pembayaran
● Analisa pada Gauss menunjukkan bahwa Gauss dirancang untuk mencuri data dari beberapa bank Lebanon termasuk Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank dan Credit Libanais. Selain itu, Gauss menargetkan pengguna Citibank dan PayPal
Malware baru ini ditemukan oleh para ahli Kaspersky Lab pada Juni 2012. Pembuat Gauss, yang belum diketahui, memberi nama modul utamanya dari nama ahli matematika Jerman Johann Carl Friedrich. Komponen lain juga diberi nama dari nama ahli matematika terkenal lainnya, seperti Joseph-Louis Lagrange dan Kurt Gödel. Investigasi menemukan bahwa kejadian pertama dengan Gauss terjadi pada September 2011. Pada bulan Juli 2011, server C&C Gauss berhenti berfungsi.
Beragam modul Gauss bertugas mengumpulkan informasi dari browser, termasuk history situs yang pernah dikunjungi dan password. Data rinci dari mesin yang terinfeksi juga dikirim ke penyerang, termasuk interface jaringan yang spesifik, drive computer dan informasi BIOS. Modul Gauss juga mampu mencuri data nasabah-nasabah bank Lebanon termasuk Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank dan Credit Libanais. Gauss juga menjadikan pengguna Citibank dan PayPal sebagai target.
Fitur kunci lain Gauss dalah kemampuan untuk menginfeksi USB thumb drives menggunakan kerentanan LNK yang sebelumnya digunakan oleh Stuxnet dan Flame. Di saat yang sama, proses penginfeksian USB terjadi lebih cerdas. Gauss mampu “tidak menginfeksi” drive dalam keadaan tertentu dan menggunakan media yang mudah dipindahkan untuk menyimpan informasi yang disimpan dalam file tersembunyi. Aktivitas lain dari Trojan ini adalah penginstalan font khusus bernama Palida Narrow, namun tujuan dari font ini belum diketahui.
Meski secara desain Gauss serupa dengan Flame, geografi penginfeksian sangatlah berbeda. Jumlah tertinggi komputer yang terserang Flame ada di Iran, sementara mayoritas korban Gauss ada di Lebanon. Jumlah infeksi juga berbeda. Berdasarkan laporan telemetri dari Kaspersky Security Network (KSN), Gauss menginfeksi kurang lebih 2.500 komputer; sementara Flame jauh lebih rendah, menginfeksi hanya 700 komputer.
Meskipun metode pasti yang digunakan untuk menginfeksi komputer belum diketahui, jelas bahwa Gauss melalui cara yang berbeda dibanding Flame atau Duqu; namun, mirip dengan dua senjata mata-mata sebelumnya, mekanisme penyebaran Gauss dilakukan dalam keadaan terkontrol, yang menekankan kelatenan dan kerahasiaan dalam bekerja.
Alexander Gostev, Chief Security Expert, Kaspersky Lab, mengatakan, “Gauss memiliki kesamaan yang mencolok dengan Flame, seperti desain dan basis kode, yang memungkinkan kami menemukan program berbahaya ini. Seperti halnya Flame dan Duqu, Gauss adalah toolkit mata-mata cyber kompleks, dengan desain yang menekankan pada kelatenan dan kerahasiaan; namun tujuannya berbeda dari Flame atau Duqu. Gauss menargetkan beberapa pengguna di negara-negara terpilih untuk mencuri data dalam jumlah besar, dengan fokus khusus pada perbankan dan informasi keuangan.”
Saat ini, Trojan Gauss telah dideteksi, diblok dan diremediasi oleh produk Kaspersky Lab, dikenal dengan nama Trojan-Spy.Win32.Gauss.
Para ahli Kaspersky Lab telah menerbitkan analisa mendalam dari malware ini di Securelist.com: http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution
FAQ tentang Gauss termasuk informasi penting mengenai ancaman tersedia di: http://www.securelist.com/en/blog?weblogid=208193767
Temukan Kaspersky Lab di Facebook dan dapatkan update terbaru di:
https://www.facebook.com/Kaspersky?ref=ts
0 komentar:
Post a Comment
jangan lupa buat ninggalin komen yaa....
boleh kopas kok.. tapi kasih link ke http://gilapc.com/ yaa...
terima kasih kunjungannya... :)