Gauss: برمجية خبيثة جديدة مماثلة لـ Flame تتخصص في سرق بيانات الحسابات البنكية في منطقة الشرق الأوسط

الوقت المقدّر لقراءة هذا المقال: 7 دقيقة و 23 ثانية

لم يُفق العالم بعد من تأثير “Flame”، حتى بدأت الأخبار بالانتشار حول برمجية خبيثة جديدة كُنيت بـ “Flame 2.0” نظراً للأغراض التجسسية التي كتبت من أجلها كسابقتها “Flame”.


حيث أعلنت شركة Kaspersky عن اكتشافها لبرمجية خبيثة تجسسية جديدة أطلقت عليها اسم “Gauss” تيمّناً بالرياضي الشهير “كارل فريدريك غاوص”، وقد وقع اختيار الاسم بعد إيجاد سلسلة نصية احتوت على هذا الاسم ضمن شفرة البرمجية الخبيثة الرئيسية، كما تظهره الصورة التالية:

ظهور اسم الرياضي "Gauss" في الشفرة الخبيثة

كما احتوت لواحق برمجية أخرى على أسماء رياضيين آخرين مشهورين مثل “جوزيف لويس لاغرانج” و “كرت غوديل”.

“Gauss” كأبيه “Flame” يقوم باستهداف مناطق جغرافية محددة من العالم، يتمثل معظمها في بلدان تقع في الشرق الأوسط وهي: تركيا، إيران، سورية، العراق، لبنان، اسرائيل، الأردن، مصر، السعودية، السودان، الإمارات العربية المتحدة، قطر، الكويت، البحرين وذلك وفقاً للدراسة التي أعدتها Kaspersky حول هذا الخصوص.

التوزع الجغرافي للإصابات التي حققها "Gauss" مركّزة في الشرق الأوسط

وتقول Kaspersky في نشرتها بأن “Gauss” برمجية خبيثة ممولة ومدعومة من قبل إحدى الدول أو الجهات الثرية، تم تصميمها لسرقة البيانات الشخصية الحساسة وبشكل أخص كلمات المرور التي يتم إدخالها عبر المتصفحات وبيانات الحسابات البنكية، الـ cookies، وبعض المعلومات عن إعدادات محددة في الأجهزة المصابة.

أما عن الوظيفة التجسسية الخاصة بسرقة بيانات الحسابات البنكية فهي المرة الأولى التي تشاهد هذه الوظيفة مقارنة بسابقاتها من البرمجيات الخبيثة ذات الأغراض التجسسية.

هذا ويمكن ملاحظة 7 حقائق سريعة:

  • يظهر التحليل بأن “Gauss” بدأت عملياتها تقريباً في شهر سبتمبر 2011.
  • تم اكتشافها لأول مرة في يونيو 2012، نتيجة المعلومات التي تم جمعها من خلال الدراسة الدقيقة لـ “Flame”.
  • هذا الاكتشاف أصبح ممكناً نتيجة التشابه الكبير بين “Guass” و “Flame” في منصات التطوير، بنية اللواحق البرمجية وطرق التواصل مع خوادم التحكم والإدارة.
  • توقفت شبكة “Gauss” عن العمل في يوليو 2012 وذلك بعد فترة قصيرة من اكتشافها. في الوقت الحالي فإن البرمجيات الخبيثة المنتشرة في الأجهزة المصابة، تقبع بانتظار عودة خوادم الإدارة والتحكم للعمل مجدداً.
  • بدءاً من مايو 2012 فقد قامت Kaspersky بتسجيل أكثر من 2,500 إصابة، ويقدر عدد الإصابات الإجمالية بعشرات الآلاف. مقارنة بـالإصابات التي حققتها “Stuxnet” فإن هذا الرقم أقل منها، لكنه أعلى بأشواط من الإصابات التي حققها كل من “Duqu” و “Flame”.
  • يقوم “Gauss” بسرقة معلومات تفصيلية عن الأجهزة المصابة متضمناً ذلك سجلات التصفح، cookies، كلمات المرور وإعدادات النظام. كما أن بإمكان “Gauss” سرقة بيانات لعدد من الأنظمة البنكية الالكترونية ووسائط الدفع.
  • أظهر التحليل بأن “Gauss” مصمم لسرقة بيانات من عدة بنوك لبنانية بما في ذلك: بنك لبنان، EBLF، BlomBank، بنك بيبلوس، FransaBank و Credit Libanais. بالإضافة لهذا فإنها تستهدف المستخدمين لدى Citibank، PayPal، MasterCard، American Express، Visa، eBay، Gmail، Hotmail، Yahoo، Facebook، Amazon.

وبالنسبة للانتشار، فمن إحدى الخواص التي يتمتع بها “Gauss” قدرته على إصابة وسائط التخزين المحمولة عبر USB، باستخدام ثغرة الاختصارات في Windows التي عرفت لأول مرة في “Stuxnet” كثغرة 0-day وأعيد استخدامها في “Flame”. لكن في الوقت ذاته، تبقى تقنية إصابة الوسائط المحمولة “أذكى” من المستخدمة في أسلافه، حيث يستطيع “Gauss” إزالة برمجيات خبيثة أخرى من الوسائط المحمولة وفق ظروف معينة، كما يقوم باستخدام الوسائط المحمولة للاحتفاظ بالبيانات التي تم تسجيلها في ملف مخفي.

اللواحق البرمجية الخبيثة

وتبقى طرق الإصابة بـ “Gauss” غير محددة حتى الآن، لكن يظهر جلياً بأن “Gauss” ينتشر بوسائل مختلفة عن “Flame” و “Duqu”، إلا أنه يشبهما في آلية الانتقال التي يتم التحكم بها عن بعد مما يدل على السرية التي كانت تتمتع بها العملية.

بالإضافة لما سبق، يقوم “Gauss” بتثبيت ملف “خطوط” خاص يدعى Palida Narrow، ما تزال الغاية منه مجهولة حتى الآن.

وعلى الرغم من أن “Gauss” يشبه إلى حد كبير “Flame” في التصميم، إلا أن التوزع الجغرافي للإصابات يختلف عنه بشكل ملحوظ. حيث سجلت أعلى نسبة إصابات في لبنان بخلاف “Flame” الذي كانت أعلى نسبة إصابات حققها في إيران.

ويتكون حجم الجزء الرئيسي من “Gauss” من حوالي 200 كيلو بايت، أي ما يقرب من ثلث حجم “Flame”، لكنه قادر على تحميل لواحق خبيثة أخرى مما يجعل حجمه يصل إلى حوالي 2 ميغابايت.

يتوفر في الوقت الحالي برنامجين للكشف عن إصابة “Gauss” للأنظمة، أحدها تم طرحه من مخابر CrySys والذي يعتمد على البحث عن ملف الخط Palida Narrow، بينما قامت Kaspersky بتوفير برنامج آخر يعتمد ذات الإجرائية لكن بطريقة أبسط وذلك من خلال إدراج IFRAME في صفحة ويب ويقوم كود JavaScript بالكشف عن وجود الخط المذكور الذي يترافق مع “Gauss”.

هل تعتقد أن الحرب العالمية الثالثة القادمة ستكون حرباً الكترونية؟ هل التركيز في الإصابات على “لبنان” إشارة إلى استهداف جهات توصف بالإرهابية كـ “حزب الله” المدعوم من قبل إيران؟ من برأيك قد تكون الجهة خلف “Gauss” .. الصين، أمريكا أم جهات أخرى؟ S,D,F,G.. ما البرمجية الخبيثة القادمة – “Hell” مثلاً؟ أسئلة كثيرة تدور في الذهن ندعوكم إلى مشاركتنا آراءكم حولها.


هل أعجبك هذا المقال؟ أخبر أصدقاءك عنه Share on Facebook0Tweet about this on TwitterShare on Google+8Share on LinkedIn0Buffer this pageEmail this to someoneShare on Reddit0Share on Tumblr0
وسوم: FlameGauss

عن كاتب المقال:

من محاربي الأسمبلي القدامى. أتقن البرمجة بالعديد من اللغات بما يتناسب مع طبيعة المشاريع التي أعمل عليها. مهتم بالنواحي الأمنية للتطبيقات المكتبية، تطبيقات الويب وأمن الشبكات والأنظمة. الرمادي هو لوني المفضّل.

  • هناك جهة تصف الكثير من الجهد و المال لخلق هطه البرمجيات الخبيثة، وكلها تستهدف الشرق الأوسط

  • الحل OPEN SOURCE
    العيب الاساسى الذى تستغلة امريكا وأسرائيل مع ايران والدول الاخرى هو اعتماد تلك الدول على أنظمة تشغيل مايكروسوفت المعروفة بأسم Windows ، وقد تركت CIA والبنتاجون ذلك النظام عام 2005 بعد الاختراقات المتعددة التى تعرضت لها الاجهزة الامنية للولايات المتحدة الامريكية واتجهت الى نظام تشغيل GNU LINUX القوى الذى يصعب اختراقة.
    لذا انصح الاجهزة الامنية فى مصر والعالم العربى بالاتجاة الى البرمجيات المفتوحةالمصدر OpenSource والدخول الى عالم GNU LINUX كما فعلت امريكا عام 2005 .
    نظام تشغيل Windows للترفية فقط ، على عكس GNU LINUX فهو للعمل ولتامين المعلومات ولا تكتب له فيروسات .

    • جزء من ردك مبالغ فيه، عند قراءتك لمدى تطور هاته البرمجيات الخبيثة فلا تستبعد أبدا أن تكتب برمجيات مشابهة وأخطر لاستغلال أي ضعف على أنظمة أخرى تجدها هاته الجهات مفيدة لها، جميع الأنظمة لها ضعف أمني خصوصا تلك التي يستعملها المستخدم بشكل مباشر ويومي لكن قد تكون بدرجات متفاوتة والتعامل مع الضعف عند اكتشافه تختلف.

  • ملاحظتين:
    إسرائيل ليست بلد لأنها لم تحظى بعد بإجماع جميع دول العالم.
    ثانيا، لماذا كلما ذكر ضعف أمني في ال windows أجد مدحا للlinux؟

  • الأخوة الأعزاء
    نظام تشغيل GNU Linux وايضا UNIX انظمة تمت برمجتهاعلى اعلى مستوى أمنى والنواة Linux لاتحتوى على برنامج ال Desktop بمعنى اذا سقط ال Desktop لا يسقط النظام على عكس ال windows الذى تحتوى النواة الخاصة به على ال Desktop ،بالاضافة الى ان 90% من الخوادم تعمل بنظام GNU Linux ولم تكتب اى فيروسات حتى الأن لGNU Linux .
    ولن أكون أفضل من العالم العبقرى Richard M Stallman فى الايضاح ويمكنكم مشاهدة الرابط التالى

    البرمجيات مفتوحة المصدر هى المستقبل
    وفى النهاية تحياتى ومحبتى لجميع الأخوة الأعزاء

  • انها اسرائيل فهي عدو لأيران و لبنان و لدليل تركز الهجمات على لبنان في وقت يهدد فيه السيد حسن نصرالله بقصف اسرائيل.

    و الهدف واضح ضرب الأثتصاد