17 lipca 2012

Kaspersky Lab oraz Seculert informują o "Madi" - nowo odkrytej kampanii szpiegostwa cybernetycznego na Bliskim Wschodzie

Analitycy z Kaspersky Lab ogłosili dzisiaj wyniki dochodzenia prowadzonego wspólnie z Seculert, firmą zajmującą się wykrywaniem zaawansowanych zagrożeń, w sprawie "Madi" - aktywnej kampanii cyberszpiegowskiej, której ofiary znajdują się na Bliskim Wschodzie. Madi - wykryta pierwotnie przez Seculert - to kampania infiltracji sieci komputerowych, wykorzystująca trojana, który jest dostarczany ściśle wyselekcjonowanym celom za pośrednictwem socjotechniki.


Kaspersky Lab współpracował z Seculert w celu przeprowadzenia tzw. operacji leja skierowanej na serwery kontroli Madi, umożliwiającej monitorowanie kampanii cyberprzestępczej. Firmy zidentyfikowały ponad 800 ofiar znajdujących się w Iranie, Izraelu oraz wybranych krajach na świecie, które przez ostatnie osiem miesięcy łączyły się z serwerami cyberprzestępców. Uzyskane statystyki pozwalają stwierdzić, że wśród ofiar znajdowali się głównie biznesmeni pracujący nad irańskimi i izraelskimi projektami dotyczącymi krytycznej infrastruktury, izraelskie instytucje finansowe, studenci inżynierii z Bliskiego Wschodu oraz różne agencje rządowe udzielające się na Bliskim Wschodzie.

Ponadto, podczas analizy tego szkodliwego oprogramowania zidentyfikowano nietypową ilość religijnych oraz politycznych dokumentów i obrazów „odwracających uwagę”, które zostały zamieszczone w systemach w czasie, gdy miała miejsce pierwsza infekcja.

„Chociaż w porównaniu z innymi, podobnymi projektami mamy tu do czynienia z bardzo prostym szkodliwym oprogramowaniem oraz infrastrukturą, osoby stojące za kampanią Madi zdołały przeprowadzić długotrwałą operację inwigilacyjną skierowaną przeciwko znanym celom” – powiedział Nicolas Brulez, starszy analityk szkodliwego oprogramowania, Kaspersky Lab. „Być może to właśnie amatorstwo i prymitywność spowodowały, że operacja zdołała ominąć radary i nie została wykryta”.

„Co ciekawe, podczas naszej wspólnej analizy odkryliśmy wiele ciągów tekstowych w języku perskim znajdujących się w szkodliwym oprogramowaniu oraz narzędziach działających na serwerach cyberprzestpców, co jest dość nietypowe. Osoby atakujące bez wątpienia posługiwały się płynnie tym językiem” – powiedział Aviv Raff, dyrektor ds. technologii, Seculert.

Wykorzystywany w kampanii Madi trojan pozwala zdalnym agresorom kraść poufne pliki z zainfekowanych komputerów działających pod kontrolą systemu Windows, monitorować poufną komunikację przesyłaną za pośrednictwem poczty e-mail i komunikatorów internetowych, nagrywać dźwięk, rejestrować uderzenia klawiszy oraz wykonywać zrzuty ekranu ofiary. Z analizy danych wynika, że z komputerów ofiar zostało skradzionych wiele gigabajtów danych.

Popularne aplikacje i strony internetowe, które szpiegowano, obejmowały konta na Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ oraz Facebooku. Inwigilacji poddano również zintegrowane systemy ERP/CRM, kontrakty biznesowe oraz systemy zarządzania finansowego.

Produkty Kaspersky Lab wykrywają warianty szkodnika Madi wraz z powiązanymi z nim modułami jako Trojan.Win32.Madi.

Wyniki badania dotyczącego kampanii Madi, przeprowadzonego przez Seculert można znaleźć na stronie http://blog.seculert.com.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.