Ir para o conteúdo principal

A Kaspersky Lab apelou para a ajuda da comunidade mundial de criptografia para quebrar a codificação do vírus-espião Gauss.

“Estamos pedindo a todos os interessados em criptografia e matemática para se juntar a nós e resolver o mistério e extrair a carga do vírus”, disse a empresa de segurança sediada em Moscou. “Apesar de nossos esforços, não fomos capazes de quebrar a criptografia.”

A carga viral (payload) é uma das incógnitas de Gauss, ferramenta sofisticada de espionagem descoberta pela Kaspersky semana passada. Segundo os pesquisadores, o Gauss monitora transações financeiras com bancos do Oriente Médio e foi desenvolvido ou apoiado por um ou mais governos.

Embora a Kaspersky tenha descoberto que o vírus é entregue por meio de drives flash USB – para atacar PCs não conectados à Web – ela não conseguiu decifrar o módulo, criptografado com uma chave RC4.

O RC4, criado pela RSA Security há 25 anos, também é usado no protocolo Secure Socket Layer (SSL) para proteger as comunicações entre sites e navegadores.

A empresa observou que a chave de decodificação para a carga do vírus é gerada dinamicamente pelo PC das vítimas. “[Isso] impede que alguém, exceto o alvo designado, extraia o conteúdo das seções”, diz o texto. “Não é viável quebrar a criptografia com um ataque de força bruta simples.”

Como o Gauss tem conexões com Flame, e como a maioria dos especialistas acredita que este estava ligado ao Stuxnet – a Kaspersky acredita que a carga criptografada do Gauss pode conter código do Stuxnet – especializado em monitorar e controlar processos industriais críticos, que vão desde refinarias de petróleo e fábricas a redes de energia e gasodutos.

Em seu blog, a Kaspersky incluiu os primeiros 32 bytes de dados criptografados e hashes de carga enigmática.

“Se você é um criptógrafo de nível mundial ou se pode nos ajudar a decifrar, por favor entre em contato conosco por e-mail: theflame@kaspersky.com”, disse Kaspersky. A empresa também disse que iria fornecer mais dados criptografados, a pedido.

Em março, a empresa também pediu socorro à comunidade de segurança, daquela vez para decifrar o vírus Duqu.

Deixe uma resposta