นับตั้งแต่มันแวร์ Flame หลุดออกมาสู่อินเทอร์เน็ต วงการความปลอดภัยคอมพิวเตอร์ก็เปลี่ยนไปจากที่เคยต้อ งระวังภัยของแฮกเกอร์รายบุคคลที่มุ่งสร้างความเสียหา ยแบบไม่เจาะจง และมักใช้ช่องโหว่เพียงหนึ่งหรือสองอย่างเพื่อสร้างไ วรัสมาเป็นการต่อสู่กับหน่วยงานขนาดใหญ่ที่มีการวางแ ผนรัดกุม มีกระบวนการพัฒนาไวรัสเป็นระบบ โดยตัวล่าสุดคือมัลแวร์ Gauss ที่เชื่อกันว่าพัฒนาโดยทีมที่มีความเกี่ยวข้องกับทีม พัฒนา Flame
ระบบมัลแวร์ของ Flame นั้นถูกแยกฟีเจอร์ต่างๆ ออกเป็นโมดูลให้ตัวมัลแวร์สามารถดาวน์โหลดเพิ่มเติมเ มื่อไปถึงเป้าหมายได้ ตัว Gauss เองก็คล้ายกัน แต่มีโมดูลหนึ่งคือ Godel กลับถูกเข้ารหัสไว้ทั้งโมดูล จากทั้งหมดห้าโมดูลได้แก่ Gauss, Lagrange, Godel, Tailor, และ Kurt ที่น่าสนใจคือ Gauss ไม่มีระบบสำเนาตัวเองไปยังเครื่องอื่นๆ เหมือน Flame ทำให้น่าสงสัยว่ามันไปติดเครื่องปลายทางแต่แรกได้อย่ างไร แต่มันก็ติดเครื่องไปกว่าสองพันเครื่องในเลบานอน, อิสราเอล, และปาเลสไตน์ ส่วนเครื่องนอกเหนือจากสามประเทศมีจำนวนน้อยมาก
ที่น่าสนใจคือโมดูล Godel นั้นถูกเข้ารหัสไว้ด้วยสตรีมของ RC4 (ตัวสร้างค่าสุ่มเทียมที่สร้างชุดของข้อมูลไบนารีจาก คีย์เริ่มต้น) โดยอาศัยค่าคีย์เริ่มต้นเป็นตัวแปร PATH ของระบบและรายชื่อโฟลเตอร์ใน Program Files แล้วเอามาแฮช MD5 อีกหนึ่งหมื่นครั้ง
แนวทางนี้แสดงว่า Godel จะถอดรหัสออกมาทำงานต่อเมื่อมันอยู่บนเครื่องที่ถูกต ้องเท่านั้น และจนตอนนี้ยังไม่มีใครรู้ว่าโค้ดและข้อมูลข้างในนั้ นมีจุดมุ่งหมายอะไร ทาง Kaspersky จึงออกมาของความช่วยเหลือให้นักรหัสวิทยาช่วยกันดูข้ อมูลว่ามันเป็นอะไรกันแน่
เพื่อความปลอดภัย ทาง Kaspersky เปิดเผยข้อมูลออกมาเพียง 32 ไบต์จากข้อมูลทั้งหมดสามชุดที่ถูกเข้ารหัส ถ้าใครต้องการข้อมูลเพิ่มเติมสามารถติดต่อไปได้ทางอี เมล theflame@kaspersky.com
ที่มา - Secure List


อ่านต่อ...