Archives du mot-clé Gauss

Gauss : La probable raison de son intérêt pour le Liban

Et en particulier pour les banques du pays.

F-Secure montre du doigt un article publié il y a quelques temps par le Wall Street Journal indiquant que l’administration Obama surveille le système financier libanien de près car les institutions du pays seraient utilisées par le régime syrien, l’Iran ou encore le Hezbollah pour dissimuler leurs fonds et échapper aux sanctions internationales.

Les banques libanaises seraient donc de mèche pour cacher l’argent finançant ces gouvernements. Gauss aurait alors été développé dans l’objectif de rechercher ces transactions bancaires secrètes…

Gauss : le petit nouveau de la famille Flame

Kaspersky a pu récupérer un nouveau ver destiné au cyber-espionnage : Gauss.

Les liens entre Flame et Gauss (qui prend son nom du célèbre mathématicien par rapport aux références laissées par les auteurs du malware) sont avérés : Gauss partage du code en commun avec son grand frère.

On retient surtout deux choses de ce nouveau ver :

  • Il surveille le trafic web de la machine infectée, notamment par le biais d’un plugin Firefox. En particulier il vole les informations qui transitent à destination de sites de banques libanaises)
  • Il contient un payload secret chiffré en RC4. Ce payload se déchiffrera uniquement si certains variables d’environnement ont une valeur prédéfinie qui restent pour le moment un mystère (la clé RC4 correspond à un hash MD5 de ces variables effectué 1000 fois).

On sait donc que le ver cible ses victimes, à priori au Liban mais à l’heure actuelle on ne sait pas si un organisme ou une entreprise particulière est ciblée.

Kaspersky a publié un dossier complet sur la bestiole.