Keyfacts
- entdeckt: Juni 2012
- sicher aktiv seit: Sept. 2011
- letzte Aktivität: Juni 2012
- Verbreitung: Libanon, Israel, Palästina
- Infektion: modifizierte USB-Stick, keine Replikation
- Hauptziel: gezielte, primär gegen Personen gerichtete Signal Intelligence und Spionage
- vermutliche Herkunft: unbekannt
Relevante Dokumente
- Gauss: Abnormal Distribution (Original-Artikel)
- Puzzle box: The quest to crack the world’s most mysterious malware warhead (Original-Artikel)
Quelle: WeLiveSecurity.com
Gauss, der ebenfalls auf der Flame-Plattform entstand, ist in der Liste der bisher (Stand Juni 2013) entdeckten gezielt entwickelten Malware eine Besonderheit. Die Art seiner Spionage-Funktionalität (der sog. Payload), die geringe Verbreitung und der Umstand dass Gauss keine eigenen Verbreitungs-Routinen enthält (also in Zielsysteme „eingepflanzt“ wurde) weisen darauf hin, dass er für das Ausspionieren einzelner Personen eingesetzt wurde. Dazu passt, dass Gauss nach Internet-Kennwörtern, Zugängen zu Online-Konten und Social Media Diensten, persönlichen Cookies, dem Browser-Verlauf und anderen individuellen Systemeinstellungen suchte und auch der Online-Zugriff auf Bankkonten überwacht wurde.
Aus technischer Sicht exisitieren weitere interessante Details. So wurden bei Gauss die wichtigsten Programmbestandteile die für Spionage-Zwecke eingesetzt wurden verschlüsselt. Trotz erheblichen Analyse-Aufwandes existiert noch eines der aufgefundenen Module, das bisher nicht entschlüsselt werden konnte und dessen Funktionalität unklar ist. Ausserdem wurde mit der Infektion durch Gauss ein Schriftsatz auf dem Rechner installiert, dessen Funktion ebenso unbekannt ist. Obwohl die Steuerungsrechner von Gauss unmittelbar nach dessen Bekanntwerden abgeschalten wurden, wurde kein (üblicherweise verwendetes) zentrales „Kill-Kommando“ abgesetzt. Die bestehenden Gauss-Infektionen bestehen daher weiterhin, befinden sich aber in einer Art „Ruhezustand“ und sind möglicherweise reaktivierbar.