Kaspersky Lab i Seculert otkrili „Madi” – kampanju sajber špijunaže na Bliskom istoku

Kaspersky Lab i Seculert otkrili „Madi” – kampanju sajber špijunaže na Bliskom istoku

 

Istraživači kompanije Kaspersky Lab objavili su danas rezultate istrage koju su sproveli zajedno sa Seculert, kompanijom za naprednu detekciju virusa, u vezi sa aktivnom kampanjom sajber špijunaže „Madi“, koja pogađa žrtve na Bliskom istoku. Madi, koju je prvobitno otkrila kompanija Seculert, jeste kampanja infiltracije u računarske mreže i podrazumeva virus Trojan koji biva isporučen preko šema socijalnog inženjeringa pažljivo odabranim metama.

Kompanije Kaspersky Lab i Seculert radile su zajedno na otkrivanju servera za komandu i kontrolu (C&C) virusa Madi kako bi pratili kampanju. Kompanije Kaspersky Lab i Seculert identifikovale su više od 800 žrtava lociranih u Iranu, Izraelu i drugim zemalja širom sveta koje su se povezale sa severom C&C u proteklih osam meseci. Podaci iz istraživanja otkrili su da su žrtve uglavnom poslovni ljudi koji rade na bitnim iranskim i izraelskim infrastrukturalnim projektima, u izraelskim finansijskim institucijama, studenti inženjerstva na Bliskom istoku, kao i razne vladine agencije na Bliskom istoku.

Pored toga, ispitivanjem virusa identifikovano je neobično mnogo verskih i političkih dokumenata i slika koji služe da skrenu pažnju, a pojavljuju se prilikom inicijalnog ubacivanja virusa.

„Iako su virus i njegova struktura prilično jednostavni u poređenju sa drugim sličnim projektima, Madi napadači su bili u stanju da sprovedu operaciju kontinuiranog nadzora nad bitnim žrtvama“, rekao je  Nikolas Brulez, viši istraživač virusa u kompaniji Kaspersky Lab. „Možda su amaterski i elementarni pristup zapravo pomogli da radar ne primeti program.“

„Zanimljivo je da smo zajedničkom analizom otkrili dosta persijskih stringova unutar virusa i C&C alata, što je neobično videti u kodu virusa. Napadači, bez sumnje, tečno govore ovaj jezik“, rekao je Aviv Raf, glavni tehnološki direktor kompanje Seculert.

Virus programa Madi, trojanac koji krade podatke, omogućava udaljenim napadačima da ukradu poverljive datoteke sa zaraženih računara s operativnim sistemom Windows, da prate poverljive razgovore kao što su i-mejl i instant poruke, snime audio zapise i logovanja i da preuzmu snimke ekrana svojih žrtava.

Uobičajene aplikacije i veb sajtovi koji su špijunirani obuhvataju naloge na Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ i Facebook. Nadzire se i pomo’u integrisanog ERP/CRM sistema, poslovnih ugovora i finansijskih menadžment sistema.

Antivirus sistem kompanije Kaspersky Lab detektuje verzije Madi virusa zajedno sa modulima i dropper virusima klasifikovanim kao Trojan.Win32.Madi.