Меньше чем за два года на киберкриминальной сцене засветились несколько уникальных разработок. В 2010-м антивирусное сообщество поймало и препарировало «высокоточную компьютерную бомбу» Stuxnet (это с её помощью были выведены из строя урановые центрифуги на секретном иранском заводе). Осенью прошлого года под софиты вытащили шпионский вирус Duqu (см. «Вирус Duqu и государственный терроризм»). Нынешней весной перед публикой предстал ещё один цифровой соглядатай, многокомпонентный Flame (см. «Из искры возгорится пламя»).

Всех трёх роднит необыкновенная сложность и ряд деталей конструкции: предположительно, они написаны одним коллективом, по одному правительственному заказу, и спор лишь о том, кто именно их написал, Соединённые Штаты или Израиль (в конце концов сошлись на том, что участвовали спецслужбы обеих стран, см. «Кто Stuxnet запустил…»).

А несколько дней назад Лаборатория Касперского продемонстрировала очередную находку из той же серии. Вирус Gauss, заразивший свыше двух тысяч компьютеров на Ближнем Востоке, явно приходится родным братом упомянутой выше троице. Отличают его от родственничков «банковская» специализация и интерес к Ливану вместо уже привычного прицела на Иран. Есть и другие тонкости, сделавшие Gauss героем дня, но прежде чем рассказать о нём подробно, давайте вспомним, как действовали и взаимодействовали его предшественники.

Согласно общепринятой теории, первым в Иране оказался Duqu. С его помощью таинственные злоумышленники собрали сведения, необходимые для атаки против фабрики по обогащению урана в Натанзе. Только после этого был запущен Stuxnet, применивший полученные данные для физического повреждения центрифуг.

Параллельно, в недрах иранского нефтепрома, действовал «информационный пылесос» Flame. Внутреннее устройство Flame отличается от Stuxnet/Duqu, но беспрецедентная сложность, знание неопубликованных уязвимостей, общая цель и некоторые конструктивные идеи позволяют предположить родство.

И вот что интересно: как раз пытаясь сформулировать, что объединяет эту сладкую троицу, эксперты и наткнулись на ранее неизвестный вирус. Над именем долго думать не пришлось: таинственные создатели нарекли компоненты вируса названы в честь известных математиков (Гедель, Лагранж). Главный модуль носит имя Карла Гаусса.

По какой-то странной прихоти, инфицируя очередной компьютер, Gauss устанавливает на него шрифт Pal­ida Nar­row. Так что быстро проверить свою персоналку на предмет инфекции можно просто проверив список доступных шрифтов (фото: Лаборатория Касперского).
По какой-то странной прихоти, инфицируя очередной компьютер, Gauss устанавливает на него шрифт Pal­ida Nar­row. Так что быстро проверить свою персоналку на предмет инфекции можно просто проверив список доступных шрифтов (фото: Лаборатория Касперского).

Gauss способен инфицировать компьютеры под управлением MS Win­dows всех версий начиная с XP, применяя те же методы заражения, что и Flame/Stuxnet (в том числе через «флэшку»). Как и предшественник, он распространяется не беспорядочно: поведением вируса управляют его авторы, через разбросанные по планете серверы. Наконец, как и Flame, Gauss состоит из множества модулей и занимается кражей информации. Вот только специализируется он на перехвате данных, связанных с банковской деятельностью (и Pay­Pal), а эпидемический пик (свыше 1600 выявленных заражений) приходится на Ливан.

Gauss вынюхивает пароли и логины, браузерную историю и «куки», подробные сведения о заражённом компьютере — и всё это, предположительно, не ради кражи денег, но ради составления подробного списка финансовых транзакций. Говорят, в Ливане законы позволяют банкам сохранять в секрете информацию о клиентах, поэтому (опять же предположительно) всё те же США и Израиль могут таким образом пытаться заглянуть в кошельки партий и организаций, считающихся террористическими.

В силу узкой специализации, угрозы для рядовых сетян Gauss не представляет. И всё-таки утверждать здесь ничего нельзя. Во-первых, потому что ловить новый вирус пока умеет лишь программное обеспечение Касперского. А значит найденные к настоящему моменту две с половиной тысячи копий — это, вероятно, лишь вершина айсберга (сотрудники Касперского оценивают общее число зараженных машин в десятки тысяч). По мере обнаружения инфицированных компьютеров наверняка всплывут новые модули для Gauss, выполняющие какие-то неизвестные сейчас функции.

И с этим связана вторая причина: в вирусе имеется зашифрованный кусок кода, назначение которого остаётся невыясненным. Своего рода боеголовка, которая активируется только на компьютере с конкретным (и тоже неизвестным для исследователей) набором программного обеспечения: код её зашифрован стойким криптоалгоритмом, а ключ для расшифровки генерируется из конфигурации программ на искомом компьютере. Приём простой и старый как весь компьютерный мир, зато эффективный: авторы вируса точно знают, что они ищут, и используют это знание чтобы запутать следы.

Забавно, что, признавая заслуги Лаборатории Касперского в изучении вирусного семейства Stuxnet/Flame, западные СМИ обязательно вспоминают «тёмное кагэбэшное» прошлое лично Евгения Касперского. С точки зрения Запада он ничем не лучше Рена Женгфея (основатель Huawei) и Терри Гу (основатель Fox­conn): за их успехами Западу мнится длань коммунизма или как минимум государственный интерес (фото: CeBIT Aus­tralia).
Забавно, что, признавая заслуги Лаборатории Касперского в изучении вирусного семейства Stuxnet/Flame, западные СМИ обязательно вспоминают «тёмное кагэбэшное» прошлое лично Евгения Касперского. С точки зрения Запада он ничем не лучше Рена Женгфея (основатель Huawei) и Терри Гу (основатель Fox­conn): за их успехами Западу мнится длань коммунизма или как минимум государственный интерес (фото: CeBIT Aus­tralia).

Опасений добавляет и странное поведение авторов вируса. Первые заражения произошли осенью 2011 года, а в июле 2012 управляющие серверы вдруг прекратили работу. Это не значит, что эпидемия окончена (вирус дремлет на инфицированных персоналках, ожидая сигнала), но почему таинственные разработчики вдруг решили взять тайм-аут? Возможно, они узнали, что вирус обнаружен (к тому моменту Касперский уже месяц изучал Gauss), возможно — достигли поставленной цели. И тут самое время задаться вопросом: кто стоит за этой разработкой?

Стандартный ответ: то же самое государство, те же спецслужбы, которые произвели на свет всё семейство Stuxnet/Flame. Однако если в предыдущих случаях пресса в целом была согласна с антивирусными экспертами, соглашаясь признать «правительственное» происхождение заразы, Gauss спровоцировал дискуссию.

Давайте предположим, что копия Flame (не исходные тексты, достать которые, разумеется, не под силу никому, а просто исполняемая копия, извлечённая с одной из заражённых машин) попала в руки криминальным структурам. Вскрыть вирус, частично проанализировать его устройство и приспособить для своих целей не выглядит невыполнимой задачей. Тем более, что значительную помощь тут окажут антивирусные вендоры, уже потратившие месяцы на изучение Flame и не скрывающие результатов.

В пользу этой теории свидетельствуют несколько фактов. Так, Gauss в десять раз меньше Flame (а значит и проще), использует те же уязвимости в операционной системе (а ведь Microsoft «залатала» их, так что подвержены инфекции только компьютеры, на которые не были установлены патчи), да и цель у него не нефтепром, не атомная промышленность: банки!

Говоря иначе, есть ненулевая вероятность того, что опасное оружие, сконструированное с целью ведения войны, оказалось у простых бандитов с улицы. И не надейтесь слишком уж на «вероятно»: если этого ещё и не случилось, то обязательно случится в ближайшем будущем. Между тем эффективных средств защиты от вирусов такой сложности пока нет ни у обывателей, ни у бизнеса, ни даже у спецслужб (см. «Кто Stuxnet запустил…»).

И не нужно быть провидцем, чтобы предсказать громкие киберпреступления, совершаемые «неуловимыми мстителями» с помощью переделанных правительственных вирусов — преступления, итогом которых станут не только украденные доллары, но, возможно, и потерянные человеческие жизни.