แคสเปอร์สกี้ แลป ประกาศการค้นพบภัยคุกคามทางไซเบอร์ตัวล่าสุด ชื่อ Gauss ซึ่งพุ่งเป้าโจมตีผู้ใช้ในแถบตะวันออกกลาง Gauss ได้รับการสนับสนุนจากรัฐบาลบางประเทศ ออกแบบให้มีความซับซ้อนเพื่อการจารกรรมทางไซเบอร์ มุ่งเน้นที่รหัสผ่านเว็บไซต์ ข้อมูลทางบัญชีธนาคารออนไลน์ คุ้กกี้ และการตั้งค่าคอนฟิกกูเรชั่นในเครื่องคอมพิวเตอร์ที่ถูกโจมตี นอกจากนี้ ยังค้นพบการทำงานของโทรจันใน Gauss มีลักษณะเฉพาะที่ไม่เคยปรากฏมาก่อนในอาวุธไซเบอร์ตัวอื่นๆ อีกด้วย
ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ค้นพบ Gauss ระหว่างทำการค้นคว้าวิจัย Flame ซึ่งเป็นโครงการที่ริเริ่มโดยสหภาพโทรคมนาคมระหว่างประเทศ หรือ ไอทียู (ITU) ด้วยความเชี่ยวชาญของแคสเปอร์สกี้ แลป ทำให้ไอทียูสามารถเสริมความแข็งแกร่งให้ความปลอดภัยในสังคมไซเบอร์ทั่วโลก เพื่อลดความเสี่ยงที่เกิดจากอาวุธไซเบอร์และให้เกิดสันติภาพขึ้นในโลกไซเบอร์ โดยร่วมมือกับหลายภาคส่วน ไม่ว่าจะเป็นรัฐบาล ภาคเอกชน องค์กรต่างประเทศ ประชาสังคม รวมถึงพาร์ตเนอร์หลักจากกลุ่มความร่วมมือพหุภาคีระหว่างประเทศเพื่อต่อต้านภัยไซเบอร์ หรือ ITU-IMPACT
Gauss มีลักษณะที่คล้ายคลึงกับ Flame ในหลายส่วน ทั้งรูปแบบทางสถาปัตยกรรม โครงสร้าง โค้ดพื้นฐาน และวิธีการสื่อสารกับเซิร์ฟเวอร์ C&C
ข้อมูลเบื้องต้นของ Gauss:
• Gauss เริ่มปฏิบัติการครั้งแรกเมื่อเดือนกันยายน 2554
• Gauss ถูกค้นพบครั้งแรกเมื่อเดือนมิถุนายน 2555 ซึ่งเป็นผลมาจากการค้นคว้าวิจัย Flame ในเชิงลึก
• Gauss และ Flame มีความคล้ายคลึงและสัมพันธ์กัน
• หลังจากการค้นพบได้เพียง 1 เดือน Gauss ก็หยุดการทำงานชั่วคราว และพร้อมทำงานได้ทุกเมื่อ
• แคสเปอร์สกี้ แลป บันทึกการแพร่กระจายของ Gauss ได้มากกว่า 2500 ครั้ง ตั้งแต่เดือนพฤษภาคมที่ผ่านมา มีผู้เสียหายกว่าหมื่นราย ซึ่งน้อยกว่า Stuxnet แต่มากกว่า Flame และ Duqu
• Gauss ขโมยข้อมูลสำคัญจากเครื่องคอมพิวเตอร์ ได้แก่ บันทึกการเข้าเว็บไซต์ คุ้กกี้ รหัสผ่านต่างๆ ข้อมูลการตั้งค่าคอนฟิกกูเรชั่นในเครื่องคอมพิวเตอร์ และยังขโมยข้อมูลแสดงเอกลักษณ์บุคคลทางบัญชีธนาคารและการซื้อขายออนไลน์ต่างๆ
• ผู้เชี่ยวชาญวิเคราะห์ว่า Gauss ขโมยข้อมูลจากธนาคารหลายแห่งในเลบานอน เช่น Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank, Credit Libanais และมุ่งเน้นโจมตี Citibank และ Paypal
Gauss ถูกค้นพบครั้งแรกเมื่อเดือนมิถุนายน 2555 โดยผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ผู้คิดค้นได้ตั้งชื่อโมดูลหลักว่า Gauss ตามชื่อของ Johann Carl Friedrich Gauss นักคณิตศาสตร์ชาวเยอรมัน ส่วนประกอบอื่นๆก็มีชื่อตามนักคณิตศาสตร์ชื่อดังหลายท่าน เช่น Joseph-Louis Lagrange และ Kurt Gödel การสืบสาวต้นตอของ Gauss พบการโจมตีครั้งแรกเมื่อเดือนกันยายนปีที่แล้ว และหยุดทำงานเมื่อเดือนกรกฎาคม 2555 นี้เอง
โมดูลต่างๆของ Gauss ทำหน้าที่รวบรวมข้อมูลจากเว็บบราวเซอร์ ทั้งรหัสผ่าน ประวัติการเข้าเว็บไซต์ การทำงานของเน็ตเวิร์ก ไดรว์และไบออสของเครื่อง ข้อมูลเหล่านี้จะถูกส่งไปยังผู้สั่งการโจมตี นอกจากนี้ Gauss ยังสามารถขโมยข้อมูลจากธนาคารหลายแห่งในเลบานอน เช่น Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank, Credit Libanais และมุ่งเน้นโจมตีลูกค้าของ Citibank และผู้ใช้บริการ Paypal อีกด้วย
ลักษณะการทำงานที่สำคัญที่อย่างของ Gauss คือ การแพร่กระจายเข้าสู่ USB ทัมป์ไดรว์ โดยการใช้ช่องโหว่ของ LNK เช่นเดียวกับ Stuxnet และ Flame ในขณะเดียวกันก็สามารถหยุดการแพร่กระจายได้ด้วยตัวเองและเก็บข้อมูลที่ขโมยมาโดยซ่อนไว้ในทัมป์ไดรว์ นอกจากนี้ โทรจันตัวนี้ยังสามารถติดตั้งฟอนต์ที่ชื่อ Palida Narrow ลงในเครื่อง แต่ยังไม่ทราบจุดประสงค์ของฟอนต์นี้แน่ชัด
ผู้เชี่ยวชาญพบว่า Gauss และ Flame ได้รับการออกแบบที่คล้ายคลึงกัน แต่ก็มีลักษณะการแพร่กระจายเชิงภูมิศาสตร์ที่แตกต่างกันอย่างเห็นได้ชัด Flame แพร่กระจายในอิหร่าน ส่วน Gauss ถูกตรวจพบมากที่สุดในเลบานอน จำนวนการแพร่กระจายก็ต่างกัน จากรายงานของ Kaspersky Security Network หรือ KSN พบว่า Gauss แพร่กระจายเข้าเครื่องคอมพิวเตอร์กว่า 2500 เครื่อง แต่ Flame พบแค่ 700 เครื่องเท่านั้น
จิมมี่ ฟง ผู้อำนวยการฝ่ายช่องทางการจัดจำหน่าย แคสเปอร์สกี้ แลป ภูมิภาคเอเชียตะวันออกเฉียงใต้ กล่าวว่า “แม้จะยังไม่ทราบวิธีการที่ Gauss เข้าโจมตีเครื่องคอมพิวเตอร์ แต่ทั้ง Gauss, Flame และ Stuxnet ต่างก็เป็นอาวุธจารกรรมตัวฉกาจในโลกไซเบอร์ โดยที่ Gauss มีลักษณะการทำงานที่ซับซ้อนและทำงานอย่างลับๆ”
“Gauss มีความคล้ายคลึงกับ Flame ในหลายด้าน ตัวอย่างเช่นการออกแบบและโค้ดพื้นฐาน ซึ่งทำให้ผู้เชี่ยวชาญของเราตรวจพบมัลแวร์ตัวใหม่นี้ได้ แต่ Gauss มีจุดประสงค์แตกต่างจาก Flame และ Duqu คือมุ่งโจมตีผู้ใช้กลุ่มหนึ่งในประเทศเป้าหมายแถบตะวันออกกลาง เพื่อจารกรรมข้อมูลส่วนบุคคลและข้อมูลทางการเงินการธนาคารจำนวนมหาศาล ทั้งนี้ ผู้ใช้ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถวางใจได้ว่าจะปลอดภัยจากมัลแวร์ตัวนี้ เพราะเราสามารถตรวจจับและบล็อค Trojan-Spy.Win32.Gauss ได้” จิมมี่ กล่าวเสริม
เกี่ยวกับแคสเปอร์สกี้ แลป
แคสเปอร์สกี้ แลป เป็นผู้นำระดับโลกในด้านซอฟต์แวร์การป้องกันข้อมูลจากการคุกคามทางไซเบอร์ทั้งหมด เช่น ไวรัส สปายแวร์ ไคร์มแวร์ แฮกเกอร์ และสแปม ด้วยโซลูชั่นชั้นนำที่มีการตอบสนองต่อการคุกคามทางไซเบอร์ที่เร็วที่สุดในโลก สำหรับผู้ใช้คอมพิวเตอร์ตามบ้าน องค์กรขนาดเล็กและขนาดกลาง เลยไปจนถึงองค์กรขนาดใหญ่ ไม่เพียงเท่านั้น ผู้นำโซลูชั่นด้านความปลอดภัยหลายแห่งทั่วโลก ในหลายๆ ประเทศก็ใช้เทคโนโลยีของแคสเปอร์สกี้ ในผลิตภัณฑ์และบริการของตนรายละเอียดเพิ่มเติมเกี่ยวกับแคสเปอร์สกี้ โปรดเยี่ยมชมเว็บไซต์ www.kaspersky.com รายละเอียดเพิ่มเติมเกี่ยวกับข้อมูลล่าสุดของซอฟต์แวร์ป้องกันไวรัส สปายแวร์ สแปม หรือประเด็นที่เกี่ยวกับความปลอดภัยด้านไอทีและแนวโน้มเทคโนโลยี โปรดเยี่ยมชมเว็บไซต์ www.securelist.com
