Kaspersky Lab un uzņēmums Seculert atklāj kārtējo kiberspiegu Tuvajos Austrumos

Kaspersky Lab un uzņēmums Seculert iepazīstina ar kaitīgās programmatūras Madi [url=http://www.securelist.com/en/blog/208193677/The_Madi_Campaign_Part_I]izpētes rezultātiem[/url]. Šī programmatūra ir paredzēta mērķuzbrukumiem vairākiem lietotājiem Tuvo Austrumu reģionā ar nolūku zagt konfidenciālu informāciju. Trojieša izplatīšanai un upuru datoru inficēšanai tika izmantotas sociālās inženierijas metodes.

Kaspersky Lab un Seculert eksperti pārņēma Madi vadības serveru kontroli, ieviešot sateknes maršrutētāju (sinkhole router). Tas deva iespēju noteikt vairāk nekā astoņsimt Irānā, Izraēlā un vairākās citās valstīs atrodamu cietušo, kas pēdējos astoņus mēnešu ir bijuši pieslēgti uzbrucēju vadības serveriem. Iegūtie dati ļāva secināt, ka uzbrukumu galvenais mērķis bija cilvēki, kas saistīti ar Irānas un Izraēlas izšķiroši svarīgu infrastruktūras projektu izstrādi un Izraēlas finanšu organizācijām, inženierzinātņu studenti, kā arī dažādas Tuvo Austrumu teritorijā strādājošas valsts iestādes.

Turklāt kaitīgās programmatūras detalizētas izpētes gaitā tika atrasts daudz uzmanības novēršanai paredzētu reliģisku un politisku dokumentu un fotogrāfiju, kas tika liktas lietā, veicot lietotāju datoru inficēšanu.

«Lai gan noziedznieku izmantotā kaitīgā programmatūra un izveidotā infrastruktūra nebija īpaši sarežģīta, uzbrucējiem izdevās novērot upurus diezgan ilgu laiku,» pētījuma rezultātus komentēja Kaspersky Lab vadošais antivīrusu eksperts Nikolā Brilē. «Iespējams, tieši organizētāju kompetences trūkuma dēļ viņu uzbrukumi ilgstoši palika neatklāti.»

«Jāpiebilst, ka kopīgi ar Kaspersky Lab veiktās izmeklēšanas gaitā mēs atradām daudz persiešu «pavedienu» gan pašā trojietī, gan tā vadības sistēmā. Šādas informācijas klātbūtne kaitīgajā kodā ir liels retums. Nav nekādu šaubu, ka uzbrucēji pārvalda persiešu valodu aktīvu lietotāju līmenī,» ir pārliecināts uzņēmuma Seculert tehniskais direktors Avivs Rafs.

Trojietis Madi nodrošina uzbrucējiem attālinātu piekļuvi datnēm, kas atrodas operētājsistēmas Windows pārvaldītos inficētos datoros. Noziedznieki iegūst iespēju pārtvert e-pasta vēstules un tūlītējās ziņojumapmaiņas saturu, ieslēgt mikrofonu un veikt sarunu audioierakstus, sekot klaviatūras taustiņu piespiešanai, kā arī izdarīt upura datora darbvirsmas ekrānuzņēmumus. Eksperti uzskata, ka no cietušo datoriem nosūtītās informācijas apjoms ir mērāms gigabaitos.

Upuru izsekošanai izmantoto lietojumprogrammu un tīmekļa vietņu vidū ir Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ un Facebook. Turklāt papildu informācijas ieguvei tika izmantotas uzņēmuma resursu plānošanas vai klientu attiecību pārvaldības sistēmas, lietišķās kontaktinformācijas datubāzes un finanšu darbības vadības sistēmas.

Kaspersky Lab antivīrusu datubāzē dažādas trojieša Madi modifikācijas un ar to saistītie moduļi, tostarp ielādes modulis, ir atzīmēti ar nosaukumu Trojan.Win32.Madi.