מעבדת קספרסקי וסקיולרט הישראלית חושפות: "מאהדי" – סוס טרויאני שפרץ מחשבי בכירים בישראל

Google+ Pinterest LinkedIn Tumblr +

הסוס הטרויאני פועל מזה מספר חודשים בישראל ובמזה"ת, אוסף מידע, צילומי מסך וחומר רגיש מאישים שקשורים לתשתיות לאומיות, גופים פיננסיים ומוסדות אקדמיים.
מומחי אבטחה: "איתרנו בו רכיבים שמעידים על מקור איראני"

מומחי מעבדת קספרסקי מודיעים על גילויו של מאהדי (Madi), סוס טרויאני שעומד במרכזו של קמפיין ריגול מקוון שפועל במזרח התיכון. הגילוי בוצע במסגרת חקירה בשיתוף עם חברת סקיולרט (Seculert) הישראלית, שמתמחה באיתור איומי סייבר. מאהדי מופעל במסגרת קמפיין פריצה למערכות, שמתבסס על רשתות חברתיות ופוגע במטרות נקודתיות שתוכננו מראש.

מעבדת קספרסקי וסקיולרט עבדו יחד לחסימת שרתי השליטה והבקרה במאהדי – וזיהו יותר מ-800 קורבנות שנפרצו בישראל, באירן ובמספר מדינות נוספות בעולם בשמונת החודשים האחרונים. ניתוח המחשבים שנפרצו מראה שמי שעומד מאחורי הקמפיין פרץ למחשבי אנשי עסקים שעבדו על פרויקטים שקשורים לתשתיות לאומיות – ביניהם, במוסדות כלכליים בישראל, למחשבי סטודנטים להנדסה ולמחשבים בגופים ממשלתיים ברחבי המזרח התיכון.

בנוסף, ניתוח הפריצות גילה מספר חריג ביותר של מסמכים רגישים בעלי אופי דתי או פוליטי שנוצלו על ידי הפורצים ברגע שבוצעה ההשתלטות הראשונית על המחשב, כדי להסיח את הדעת של קורבנות ההשתלטות.

"בעוד הנוזקה עצמה בה השתמשו מפעילי מאהדי היא בסיסית מאוד ביחס לנוזקות מתקדמות שנחשפו לאחרונה, הצליחו המפעילים לבצע מעקב הדוק וחשאי נגד משתמשים בפרופיל גבוה ואח"מים", אמר ניקולס ברולז, חוקר נוזקות בכיר במעבדת קספרסקי. "אולי הגישה החובבנית והפשטנית עזרה למבצע הזה לטוס מתחת לרדאר ולהצליח שלא להתגלות".

"מעניין, שהניתוח שלנו חשף הרבה מחרוזות בשפה הפרסית בנוזקה ובכלי השליטה והבקרה בה, שהם דבר שחריג למצוא בקוד זדוני. התוקפים ללא ספק שלטו בשפה זו", אמר אביב ראף, סמנכ"ל הטכנולוגיות של סקיולרט.

הסוס הטרויאני מאהדי מאפשר למפעילים שלו לגנוב קבצים רגישים ממערכות windows שהדביק, לנטר תקשורת – מיילים והודעות בתוכנות מסרים מידיים (כמו מסנג'ר, למשל), להקליט אודיו בסביבת המחשב, לגנוב לוגים ולבצע צילומי מסך של המחשב הנגוע. לפי המידע שנותח, ככל הנראה שהפורצים גנבו מידע בהיקף של מספר ג'יגה בייטים מהמחשבים הנגועים.

הריגול נעשה אחרי יישומים פופולריים רבים במחשבים הנגועים, כמו ג'ימייל, הוטמייל, יאהו מייל, ICQ, סקייפ, גוגל פלוס ופייסבוק. המעקב בוצע גם אחר מערכות ERP / CRM, אנשי קשר עסקיים ומערכות ניהול מידע פיננסי.

מערכות האנטי וירוס של קספרסקי איתרו את נוזקת מאהדי בגרסאות שונות ביחד עם רכיבים ומודולים שלה וקיטלגו אותה בתור Trojan.Win32.Madi.

למידע נוסף על הגילוי, אנא בקרו ב- http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I
או
ב- http://blog.seculert.com/2012/07/mahdi-cyberwar-savior.html. שתף. Twitter Facebook Google+ Pinterest LinkedIn Tumblr Email

.