Les lumières d’Europe
Gauss est donc le nom d’un malware pris dans les filets des systèmes de détection de Kaspersky. Comme l’indique l’éditeur dans un billet sur son blog de sécurité, Gauss a touché environ 2500 machines connectées à son système de sécurité. La société estime que le nom a été choisi en référence au mathématicien Johann Carl Friedrich Gauss pour son module principal, car des modules annexes portent le nom d’autres personnes célèbres, mathématicien ou philosophie, Kurt Godel et Joseph-Louis Lagrange.
De nombreuses similitudes
Les similitudes sont nombreuses avec Flame, l’énorme trousse à outils de 20 Mo capable de parer différents types d’attaques. Premièrement, son architecture est très modulaire, ce qui était une caractéristique forte de Flame. En fait, toujours selon Kaspersky, une quantité non négligeable de code est identique. Cependant, contrairement à Flame, les informations de débogage n’avaient pas toutes été supprimées. L’une d’entre elles faisait mention du chemin d’accès « settings\flamer\desktop\gauss_white_1 » et on peut voir très clairement la mention à Flamer, l’autre nom de Flame.
Deuxièmement, Gauss s’appuie entre autres sur une faille déjà exploitée par Flame. Elle se situe au niveau du branchement d’un périphérique de stockage de masse USB et se base sur les fichiers .LNK. Microsoft a corrigé cette brèche depuis plus de deux ans mais le fait que les auteurs de malwares continuent à s’en servir met en évidence le manque de mises à jour sur les machines.
Troisièmement, Gauss a un profil d’attaque très particulier. Kaspersky indique en effet que la grande majorité des attaques s’est située au Liban, avec d’autres cas en Israël et en Palestine.
Dans le graphique ci-dessus, on peut se rendre compte facilement que dans la plupart des cas, les cibles de Flame et de Gauss correspondent. Pour l’éditeur, Gauss, Flame, Stuxnet et Duqu sont tout simplement tous sortis du même moule : un véritable vivier de projets de malwares où les uns ont servi de prototypes ou de pouponnières aux autres.
Des aspects singuliers
Gauss possède pourtant des caractéristiques qui lui sont propres. C’est le cas notamment d’un module entièrement chiffré dont les chercheurs ont été incapables jusqu’à présent de percer le secret. Ils savent cependant qu’il est conçu pour être copié vers une clé USB depuis une machine infectée pour ensuite être déchargé sur une machine saine, mais uniquement en fonction de conditions que, là encore, les chercheurs ne connaissent pas. Kaspersky a du coup lancé un appel à des cryptologues pour obtenir de l’aide.
Le niveau de chiffrement semble particulièrement élevé, ce qui peut être interprété de différentes manières. D’une part, les auteurs auraient très bien pu vouloir que le fonctionnement spécifique de Gauss ne soit pas découvert trop rapidement par les sociétés de sécurité. D’autre part, Kaspersky émet l’idée que cela bloquerait une absorption trop rapide du code par la « concurrence ». La société estime de fait qu’il y a très peu de chances pour que le code se retrouve en ligne.
Les méthodes d’attaque semblent en outre différentes de Flame. Même si on retrouve l’exploitation de la faille LNK, Gauss ne dispose par exemple pas de la capacité de s’insérer entre un client Windows et le service Windows Update. Flame possédait cette capacité et utilisait pour cela un type d’attaque que les experts en sécurité n’avaient jamais vu réellement exploité : la collision, qui repose sur le postulat que deux contenus peuvent aboutir au même hash une fois chiffrés. Un constat qui faisait alors dire à plusieurs éditeurs, dont Kaspersky et Symantec, qu’au moins un gouvernement devait se retrouver derrière Flame. Et donc probablement derrière Gauss également.
Ce dernier installe en outre une police spéciale nommée Palida Narrow. Malheureusement, personne ne sait encore à quoi elle sert. En revanche, Kaspersky pense qu’aucune faille zero-day n’est exploitée actuellement.
Le ciblage géopolitique
La plus grande particularité de Gauss est sans doute sa capacité à surveiller et à voler des données en provenance des clients de Paypal et Citibank, ainsi que de plusieurs banques libanaises. Ce qui fait dire à Kaspersky que c’est la première fois que l’on observe un réseau d’espionnage à échelle nationale et disposant d’un composant de type cheval de Troie pour s’attaquer aux données bancaires.
Pour l’instant en revanche, impossible de savoir si des données ont été réellement transférées, ou si Gauss s’est contenté surtout de surveiller ce qui transitait. Une attaque trop large en fait pour Kaspersky qui pense que l’objectif n’était pas vraiment le gain financier. En outre, si Gauss est issu de la même fabrique que Flame, alors un gouvernement se tient derrière et le gain financier n’est clairement pas l’objectif.
Il n’est pas dit que Kaspersky ou un autre éditeur puisse obtenir davantage d’informations sur Gauss. Les serveurs Command & Control, qui pilotent les parcs de malwares, ont été coupés en juillet, donc avant que Gauss ne soit pris dans des filets. L’éditeur ne connait en outre pas le degré d’infections des machines, mais il estime qu’il ne doit pas dépasser les quelques dizaines de milliers de machines dans le pire des cas. Gauss a potentiellement hérité de Flame la capacité de se « suicider » mais rien ne permet de l'affirmer pour l’instant. Cependant, la copie envoyée sur une clé USB est prévue pour s’exécuter trente fois avant de se supprimer d’elle-même.
Pourquoi ?
Mais la question qui « tarabuste » le plus les chercheurs se concentre sur les informations volées par Gauss : pourquoi ? Ils n’ont pas de réponse précise à apporter alors que le malware manipule de nombreuses informations dont l’historique de navigation, les connexions actives, les processus lancés, la hiérarchie des dossiers, des informations sur le BIOS, la mémoire vive ou encore les disques locaux et distants, sans parler des données bancaires. L’explication la plus plausible est que Gauss avait pour mission de créer le profil des machines qu’il espionnait, ce qui devait nécessairement profiter à une personne ou un groupe.
En attendant d’avoir de plus amples informations, la question qui reste pour les utilisateurs est simple : comment faire pour vérifier facilement que l’on n’est pas infesté ? Dans un billet récent, Kaspersky propose deux solutions : télécharger leur outil gratuit, ou s’aider d’une page web spécialement conçue par le laboratoire de recherche hongrois CrySyS.
![[MàJ] Jeux vidéo : après s’être vidé un chargeur dans le pied, le moteur Unity fait volte-face](https://cdnx.nextinpact.com/compress/100-75/data-next/images/bd/square-linked-media/12832.jpg)
![[MàJ] Rachat d’Activision par Microsoft (avec Ubisoft) : pour la CMA, « le nouvel accord répond aux préoccupations »](https://cdnx.nextinpact.com/compress/100-75/data-next/images/bd/square-linked-media/10172.jpg)
