Двуликий вирус

«Лаборатория Касперского» сообщила, что обнаружила на Ближнем Востоке новую вредоносную программу. Вирус, получивший название Gauss, был найден во время инициированной Международным союзом электросвязи (ITU) кампании по выявлению киберугроз безопасности государств. Это «троянская» программа (маскирующаяся под безвредный софт), предназначенная прежде всего для кражи из компьютера финансовой информации – номеров банковских карт, паролей доступа и т. п.

По структуре и по коду этот вирус очень похож на недавно обнаруженный вирус Flame, шпионивший за компьютерами государственных учреждений Ирана, Израиля, Судана, Сирии, Ливана, Саудовской Аравии, Египта, и на его предшественников, говорит главный антивирусный эксперт «Лаборатории» Александр Гостев. Первый обнаруженный вирус этого класса Stuxnet в 2010 г. вывел из строя центрифуги для обогащения урана на ядерных объектах Ирана, а Flame мог удаленно менять настройки зараженного компьютера, записывать звук, делать скриншоты экрана и подключаться к чатам. Компьютерный червь Duqu, тоже нацеленный на Иран, заражал компьютеры через электронную почту и занимался перехватом информации. Наличие в Gauss еще и функций банковского «троянца» – уникальный случай, считает Гостев. По данным «Лаборатории Касперского», Gauss заражено около 2500 компьютеров, большинство из них в Ливане. Кроме ливанских банков, цель Gauss – клиенты Citibank и пользователи электронной платежной системы PayPal, говорится в сообщении антивирусной компании.

Какие именно государства участвовали в создании Gauss, «Лаборатория Касперского» не уточняет. Атаки Stuxnet на Иран осуществлялись по приказу президента США Барака Обамы и должны были замедлить реализацию иранской ядерной программы, писала ранее газета The New York Times. Официальные представители США это отрицали.

Даже если Gauss использует те же уязвимости, что Stuxnet или Flame, это еще не значит, что он тоже является кибероружием, считает исполнительный директор Peak Systems Максим Эмм. Хакеры могли хорошо изучить код вредоносной программы, написать похожий софт, но использовать его для криминальных целей, полагает он. Спецслужбам же, чтобы получить информацию о движении средств, проще атаковать сами банки, а не их клиентов. Gauss признан специалистами «Лаборатории Касперского» кибероружием именно из-за уникального сходства с Flame, говорит замруководителя лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB Сергей Никитин. Кибероружие нацелено в первую очередь на подрыв инфраструктуры страны в целом: это может быть IT-инфраструктура, энергетика, промышленность, финансы и т. д. Поэтому нет ничего удивительного в том, что банковский «троян», нацеленный на клиентов ливанских банков, классифицирован как кибероружие, считает Никитин.