Connect with us

חדשות מאמרים מתקפות סייבר

מעבדת קספרסקי וסקיולרט הישראלית חושפות: "מאהדי" – סוס טרויאני שפרץ מחשבי בכירים בישראל

מוצרי אבטחת מידע

אקווה סקיוריטי משיקה את המאגר הראשון מסוגו לשיתוף מידע על היתכנות לפגיעויות בקוד ומרחיבה את יכולות הסורק Aqua Trivy

מתקפות סייבר

מחקר סופוס - שני שלישים מארגוני הבריאות נפגעו מתוכנות כופר, שיא של ארבע שנים

מוצרי אבטחת מידע

מחקר סופוס - רוב מוסדות החינוך וההשכלה הגבוהה שילמו יותר מדרישת הכופר המקורית

אבטחת מידע ארגונית

סנטינל וואן ולנובו משתפות פעולה בהטמעת אבטחת AI

מתקפות סייבר

זן חדש של תוכנות כופר מותאמות אישית תוקף עסקים קטנים ובינוניים ברחבי העולם

מוצרי אבטחת מידע

פורטינט מרחיבה את יכולות הגישה המאובטחת לשירותי קצה (SASE) כדי לספק גמישות ופשטות חסרות תקדים

מתקפות סייבר

פורטינט משתפת פעולה עם חברות אבטחת מידע ישראליות בתחום ה-OT כדי להרחיב את ההגנה על תשתיות קריטיות

אבטחת מידע ארגונית

סופוס משיקה צוות Customer Success ייעודי, המעמיק את המחויבות ללקוחות ולשותפי הצ'אנל

מתקפות סייבר

דוח סופוס - קבוצות כופר משתמשות בנתונים גנובים כדי להגביר את הלחץ על קורבנות שמסרבים לשלם

חדשות

מעבדת קספרסקי וסקיולרט הישראלית חושפות: "מאהדי" – סוס טרויאני שפרץ מחשבי בכירים בישראל

פורסם

לפני 12 שנים

ב-

הסוס הטרויאני פועל מזה מספר חודשים בישראל ובמזה"ת, אוסף מידע, צילומי מסך וחומר רגיש מאישים שקשורים לתשתיות לאומיות, גופים פיננסיים ומוסדות אקדמיים.
מומחי אבטחה: "איתרנו בו רכיבים שמעידים על מקור איראני"

מומחי מעבדת קספרסקי מודיעים על גילויו של מאהדי (Madi), סוס טרויאני שעומד במרכזו של קמפיין ריגול מקוון שפועל במזרח התיכון. הגילוי בוצע במסגרת חקירה בשיתוף עם חברת סקיולרט (Seculert) הישראלית, שמתמחה באיתור איומי סייבר. מאהדי מופעל במסגרת קמפיין פריצה למערכות, שמתבסס על רשתות חברתיות ופוגע במטרות נקודתיות שתוכננו מראש.

מעבדת קספרסקי וסקיולרט עבדו יחד לחסימת שרתי השליטה והבקרה במאהדי – וזיהו יותר מ-800 קורבנות שנפרצו בישראל, באירן ובמספר מדינות נוספות בעולם בשמונת החודשים האחרונים. ניתוח המחשבים שנפרצו מראה שמי שעומד מאחורי הקמפיין פרץ למחשבי אנשי עסקים שעבדו על פרויקטים שקשורים לתשתיות לאומיות – ביניהם, במוסדות כלכליים בישראל, למחשבי סטודנטים להנדסה ולמחשבים בגופים ממשלתיים ברחבי המזרח התיכון.

בנוסף, ניתוח הפריצות גילה מספר חריג ביותר של מסמכים רגישים בעלי אופי דתי או פוליטי שנוצלו על ידי הפורצים ברגע שבוצעה ההשתלטות הראשונית על המחשב, כדי להסיח את הדעת של קורבנות ההשתלטות.

"בעוד הנוזקה עצמה בה השתמשו מפעילי מאהדי היא בסיסית מאוד ביחס לנוזקות מתקדמות שנחשפו לאחרונה, הצליחו המפעילים לבצע מעקב הדוק וחשאי נגד משתמשים בפרופיל גבוה ואח"מים", אמר ניקולס ברולז, חוקר נוזקות בכיר במעבדת קספרסקי. "אולי הגישה החובבנית והפשטנית עזרה למבצע הזה לטוס מתחת לרדאר ולהצליח שלא להתגלות".

"מעניין, שהניתוח שלנו חשף הרבה מחרוזות בשפה הפרסית בנוזקה ובכלי השליטה והבקרה בה, שהם דבר שחריג למצוא בקוד זדוני. התוקפים ללא ספק שלטו בשפה זו", אמר אביב ראף, סמנכ"ל הטכנולוגיות של סקיולרט.

Advertisement

הסוס הטרויאני מאהדי מאפשר למפעילים שלו לגנוב קבצים רגישים ממערכות windows שהדביק, לנטר תקשורת – מיילים והודעות בתוכנות מסרים מידיים (כמו מסנג'ר, למשל), להקליט אודיו בסביבת המחשב, לגנוב לוגים ולבצע צילומי מסך של המחשב הנגוע. לפי המידע שנותח, ככל הנראה שהפורצים גנבו מידע בהיקף של מספר ג'יגה בייטים מהמחשבים הנגועים.

הריגול נעשה אחרי יישומים פופולריים רבים במחשבים הנגועים, כמו ג'ימייל, הוטמייל, יאהו מייל, ICQ, סקייפ, גוגל פלוס ופייסבוק. המעקב בוצע גם אחר מערכות ERP / CRM, אנשי קשר עסקיים ומערכות ניהול מידע פיננסי.

מערכות האנטי וירוס של קספרסקי איתרו את נוזקת מאהדי בגרסאות שונות ביחד עם רכיבים ומודולים שלה וקיטלגו אותה בתור Trojan.Win32.Madi.

למידע נוסף על הגילוי, אנא בקרו ב- http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I
או
ב- http://blog.seculert.com/2012/07/mahdi-cyberwar-savior.html.Advertisement

Related Topics:
Continue Reading