Głównym punktem programu tegorocznej konferencji Digital Agenda Assembly była bezpieczna przyszłość cyfrowa przy dążeniu do dalszego wzrostu oraz innowacji

„Madi”, czyli nowa odsłona szpiegostwa cybernetycznego na Bliskim Wschodzie

Kampania infiltracji sieci komputerowych, wykorzystująca trojana, który jest dostarczany ściśle wyselekcjonowanym celom za pośrednictwem socjotechniki.

Wykorzystywany w kampanii Madi trojan pozwala zdalnym agresorom kraść poufne pliki z zainfekowanych komputerów działających pod kontrolą systemu Windows

Wykorzystywany w kampanii Madi trojan pozwala zdalnym agresorom kraść poufne pliki z zainfekowanych komputerów działających pod kontrolą systemu Windows

Kaspersky Lab współpracował z Seculert w celu przeprowadzenia tzw. operacji leja skierowanej na serwery kontroli Madi, umożliwiającej monitorowanie kampanii cyberprzestępczej. Firmy zidentyfikowały ponad 800 ofiar znajdujących się w Iranie, Izraelu oraz wybranych krajach na świecie, które przez ostatnie osiem miesięcy łączyły się z serwerami cyberprzestępców. Uzyskane statystyki pozwalają stwierdzić, że wśród ofiar znajdowali się głównie biznesmeni pracujący nad irańskimi i izraelskimi projektami dotyczącymi krytycznej infrastruktury, izraelskie instytucje finansowe, studenci inżynierii z Bliskiego Wschodu oraz różne agencje rządowe udzielające się na Bliskim Wschodzie.

Ponadto, podczas analizy tego szkodliwego oprogramowania zidentyfikowano nietypową ilość religijnych oraz politycznych dokumentów i obrazów „odwracających uwagę”, które zostały zamieszczone w systemach w czasie, gdy miała miejsce pierwsza infekcja.

„Chociaż w porównaniu z innymi, podobnymi projektami mamy tu do czynienia z bardzo prostym szkodliwym oprogramowaniem oraz infrastrukturą, osoby stojące za kampanią Madi zdołały przeprowadzić długotrwałą operację inwigilacyjną skierowaną przeciwko znanym celom” — powiedział Nicolas Brulez, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.

„Być może to właśnie amatorstwo i prymitywność spowodowały, że operacja zdołała ominąć radary i nie została wykryta”.

„Co ciekawe, podczas naszej wspólnej analizy odkryliśmy wiele ciągów tekstowych w języku perskim znajdujących się w szkodliwym oprogramowaniu oraz narzędziach działających na serwerach cyberprzestpców, co jest dość nietypowe. Osoby atakujące bez wątpienia posługiwały się płynnie tym językiem” — powiedział Aviv Raff, dyrektor ds. technologii, Seculert.

Wykorzystywany w kampanii Madi trojan pozwala zdalnym agresorom kraść poufne pliki z zainfekowanych komputerów działających pod kontrolą systemu Windows, monitorować poufną komunikację przesyłaną za pośrednictwem poczty e-mail i komunikatorów internetowych, nagrywać dźwięk, rejestrować uderzenia klawiszy oraz wykonywać zrzuty ekranu ofiary. Z analizy danych wynika, że z komputerów ofiar zostało skradzionych wiele gigabajtów danych.

Popularne aplikacje i strony internetowe, które szpiegowano, obejmowały konta na Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ oraz Facebooku. Inwigilacji poddano również zintegrowane systemy ERP/CRM, kontrakty biznesowe oraz systemy zarządzania finansowego.

Produkty Kaspersky Lab wykrywają warianty szkodnika Madi wraz z powiązanymi z nim modułami jako Trojan.Win32.Madi .

Wyniki badania dotyczącego kampanii Madi, przeprowadzonego przez Seculert można znaleźć na stronie http://blog.seculert.com.

Chcesz być na bieżąco z CHIP? Obserwuj nas w Google News