Gauss fue descubierta durante la labor iniciada por la Union Internacional de Telecomunicaciones (ITU, por sus siglas en inglés), después del descubrimiento de Flame. El esfuerzo tiene el objetivo de mitigar los riesgos representados por las armas informáticas, tarea clave en el objetivo global de la paz informática.
ITU, con los conocimientos especializados proporcionados por Kaspersky Lab, trabaja en reforzar la seguridad informática global, colaborando con todos los interesados: gobiernos, sector privado, organizaciones internacionales y la sociedad civil, además de sus socios claves de la iniciativa ITU-IMPACT.
Los expertos de Kaspersky Lab descubrieron Gauss al analizar e identificar sus rasgos comunes con Flame. Entre ellos: la plataforma similar de arquitectura, la estructura modular, las bases del código fuente y los métodos de comunicación con los servidores de administración.
Algunos datos importantes sobre la nueva amenaza son:
? El análisis indica que Gauss empezó a operar en septiembre de 2011
? La infraestructura de los servidores de administración de Gauss se desactivó en julio de 2012, poco después de su descubrimiento. En este momento el programa malicioso está en un estado de letargo, esperando que sus servidores de administración se pongan en funcionamiento
? Desde finales de mayo de 2012 el sistema de seguridad “en la nube” de Kaspersky Lab registró más de 2,500 infecciones, pero el número total de víctimas de Gauss asciende a decenas de miles. Este número es menor al de Stuxnet, pero es mucho mayor que el número de ataques de Flame y Duqu
? Gauss roba información detallada sobre los PC infectados, que incluye la historia del navegador, las “cookies”, contraseñas y configuraciones del sistema. También es capaz de robar las credenciales de acceso a varios sistemas de banca y de pago online
? El análisis muestra que fue diseñado para robar datos de varios bancos libaneses, entre ellos Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank y Credit Libanais. También afecta a los usuarios de Citibank y PayPal.
A pesar de que el diseño de Gauss es similar al de Flame, la geografía de infección es notablemente diferente. El mayor número de computadoras afectadas por Flame se registró en Irán, mientras que la mayoría de las víctimas de Gauss está localizada en Líbano. También es diferente el número de infecciones. Según la telemetría reportada por Kaspersky Security Network (KSN), Gauss ha infectado unos 2,500 equipos. En comparación, los equipos infectados por Flame fueron menos de 700.
A pesar de que todavía se desconoce el método exacto usado para infectar los equipos, está claro que Gauss se propaga de una forma diferente a la de Flame o Duqu. Sin embargo, al igual que estas dos armas de espionaje informático, los mecanismos de propagación de Gauss funcionan bajo cierto control, lo que realza la naturaleza camuflada y secreta de la operación.
En la actualidad, los productos de Kaspersky Lab detectan, neutralizan y curan las consecuencias de los ataques del troyano Gauss y lo clasifican como Spy.Win32.Gauss.
