Gauss: novo vírus semelhante ao Flame e Stuxnet é descoberto
Pesquisadores da fabricante de antivírus russa Kaspersky descobriram mais um ataque cibernético patrocinado por um Estado, dessa vez voltado a atacar sistemas financeiros no Líbano. A empresa suspeita que o vírus, chamado de Gauss, tenha sido patrocinado pelo mesmo grupo responsável pelo Stuxnet e pelo Flame, os mais complexos ciberataques já realizados e que tinham como alvo principal o Irã.
Segundo a Kaspersky, o Gauss é uma ferramenta de ciberespionagem criada e mantida por um Estado para tarefas de espionagem e roubo de dados confidenciais, focado principalmente em senhas, credenciais de contas bancárias online, cookies e configurações específicas dos equipamentos infectados. "A funcionalidade do Trojan bancário Gauss tem características únicas que não se encontram em nenhuma outra ciberarma descoberta anteriormente", afirmou a companhia em nota.
"Tal como o Flame e o Duqu, Gauss é um complexo conjunto de ferramentas de ciberespionagem, que opera com sigilo e em segredo. No entanto, o seu propósito é diferente, já que o Gauss dirige-se a múltiplos utilizadores em países selecionados, com a finalidade de roubar grandes quantidades de dados, com um enfoque específico em informação bancária e financeira", afirmou em nota Alexander Gostev, director de segurança da Kaspersky Lab.
O vírus foi descoberto em uma investigação iniciada pela agência das Nações Unidas para a Informação e Comunicação Tecnológica (ITU) logo depois da detecção do Flame. De acordo com a Kaspersky, a infraestrutura de comando e controle (C&C) do Gauss foi encerrada em julho, pouco depois da sua descoberta. Além disso, desde o final de maio foram registadas mais de 2,5 mil infecções no sistema de segurança em nuvem da Kaspersky Lab.
A Kaspersky estima que o número total de vítimas do vírus atinja as dezenas de milhares - número inferior ao Stuxnet, mas significativamente maior que o número de ataques do Flame e do Duqu. Mais de metade dos 2,5 mil casos identificados desde maio surgiram no Líbano, e apenas 43 nos Estados Unidos. Os alvos incluem os bancos libaneses BlomBank, ByblosBank e Credit Libanais, bem como o Citibank, parte do Citigroup, e o serviço de pagamento online PayPal, do eBay.
Os ataques ocorreram de setembro do ano passado a julho deste ano. Neste período, o malware recolheu informação dos browsers, incluindo o histórico de sites visitados e senhas. O Gauss também tinha capacidade de infectar pen drives, utilizando a mesma vulnerabilidade usada pelo Stuxnet e pelo Flame. Um fator que diferencia os vírus é a localização das vítimas: enquanto a maioria dos computadores infectados estava no Irã, as vítimas do Gauss estão majoritariamente no Líbano.
Suspeita
Em junho, uma reportagem do The Washington Post afirmou que Estados Unidos e Israel desenvolveram conjuntamente o supervírus Flame para recolher informações-chave das instalações nucleares iranianas. O jornal americano cita fontes ocidentais conhecedoras da operação, que afirmam que o vírus foi projetado para monitorar secretamente redes e controlar secretamente computadores de funcionários iranianos.
Semanas antes, o jornal The New York Times afirmou que os dois países também foram os responsáveis pelo Stuxnet. O presidente americano, Barack Obama, aumentou os ciberataques contra o programa nuclear iraniano, inclusive depois que o vírus Stuxnet foi difundido acidentalmente em 2010. A operação começou no governo do presidente George W. Bush com o nome de "Olympic Games" (Jogos Olímpicos) e é o primeiro ciberataque de que se tem conhecimento lançado contra outro país pelos Estados Unidos usando códigos falsos desenvolvidos por Israel, dizia a reportagem.
