Mehdi Siberespionage Malware İran, İsrail, Diğer Orta Doğu Ülkelerinde Bilgisayarları Enfekte Ediyor

Mehdi veya Madi adında bir kötü amaçlı yazılım parçası, İran, İsrail ve birkaç yüzlerce hedefe göz atmak için kullanıldı. Güvenlik firmaları Seculert ve Kaspersky Lab. araştırmacılarından yapılan açıklamaya göre, geçtiğimiz sekiz ay boyunca diğer Ortadoğu ülkeleri, Mahdi, tuş vuruşlarını kaydedebiliyor, belli aralıklarla ekran görüntülerini kaydedebiliyor, ses kaydı yapabiliyor ve çeşitli belgeleri, görüntüleri, arşivleri çalabiliyor. Diğer dosyalar, Kaspersky Lab araştırmacıları Salı günü bir blog yazısında söyledi.

Onun adı, virüslü bilgisayarlara bırakılan mahdi.txt adlı bir dosyadan geliyor. İslami inançlara göre, Mehdi dünyayı Kıyamet Gününden önce yönetecek ve haksızlığa ve kötülükten arındıracaktır.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Seculert Mehdi'yi keşfetti. Birkaç ay önce, sahte bir belgeyle şüpheli bir e-posta mesajı araştırırken, şirketin araştırmacıları Salı günlüğüne bir blog yazısı verdi.

Şirket, Mahdi'nin Alev ile benzerliklerini paylaşıp paylaşmadığını belirlemek için bulgularını Kaspersky Lab ile paylaştı. İran ve Ortadoğu'dan gelen örgütleri de hedef alan çok sofistike siber saldırı tehdidi.

İki şirket, kötü amaçlı yazılım trafiğini kendi kontrolleri altında bir sunucuya yönlendirmek için birlikte çalıştılar. Bu, çoğu İran ve İsrail'de bulunan 800'den fazla mağdurun tespit edilmesine izin verdi.

"Büyük miktarda veri toplama kampanyası Ortadoğu kritik altyapı mühendisliği firmaları, hükümet kurumları, finans evleri ve akademi konularına odaklandı. "Kaspersky araştırmacıları söyledi. "Bu kurban havuzundaki bireyler ve iletişimleri uzun süreler boyunca daha fazla izleme için seçildi."

Mahdi kötü amaçlı yazılımları, alıcıları özel hazırlanmış PowerPoint dosyalarını açmaya zorlamak için temel sosyal mühendislik tekniklerini kullanan haydut e-postaları yoluyla dağıtılıyor.

Kötü amaçlı yazılım yükleyicisi bu dosyaların içine gömülür ve kullanıcılar, eklenen nesnelerin yüklenmesiyle ilgili güvenlik riskleri konusunda onları uyaran bir PowerPoint güvenlik uyarısını kabul ettikleri takdirde gerçekleştirilir.

Bu, devlet destekli bir saldırı olup olmadığını Seculert'in baş teknolojisi değilse açık değildir. memur Aviv Raff Salı günü e-postayla söyledi. Mahdi kötü amaçlı yazılımlar, şimdiye kadar bulunan en karmaşık siber saldırı tehdidi arasında yer almıyor ve aslında aceleyle yazılıyor gibi görünüyor.

Ancak, hedeflenen varlıklar saldırı grubunun üyeleri arasında yayılıyor. Bu saldırının büyük bir yatırım veya mali destek gerektirdiğini ileri sürebilir, "dedi Raff.

Kaspersky Lab'ın küresel araştırma ve analiz ekibinin yöneticisi olan Costin Raiu, bu saldırı kampanyasının sınırlı ve ilkel bir teknoloji ile uygulandığını söyledi.

Raiu, karmaşıklığın sürdüğünü, Mehdi saldırısının Tibet ve Uygur aktivistlerine yönelik son saldırılardan daha düşük olduğunu belirtti. En azından bu kampanyalar siber-casus yazılımlara karşı kötü amaçlı yazılım yüklemek için bir çeşit yazılım istismarından yararlanırken, Mahdi saldırganlar sadece sosyal mühendisliğe güveniyordu.

Seculert ve Kaspersky tarafından analiz edilen Mehdi örnekleri dört farklı komuta ve kontrol sunucusuyla iletişim kurmaya çalıştı. - üçü Kanada'da, diğeri de İran'ın başkenti Tahran'da.

Kötü amaçlı yazılımın kaynağının henüz kesin bir kanıtı yok. Ancak, Tahran'da bir komuta ve kontrol sunucusunun bulunması saldırganların İranlı olduğunu gösteriyor, özellikle de kötü amaçlı yazılımlarda bulunan diğer ipuçları Farsça'da akıcı olduklarını ve Farsça takvim formatındaki tarihleri ​​kullandıklarını gösteriyor, Raff.

Raiu, bu saldırganların kullanılan tekniklerin sadeliğine rağmen yüzlerce hedefi enfekte etmeyi başardığının altını çizdi. Her ciddi antivirüs ürünü bu kötü amaçlı yazılımı yakalayabilmeli ve engelleyebilmelidir, dedi.

Muhtemelen kurbanların doğru güvenlik ürünlerini kullanmadıkları anlamına geliyor, diye açıklıyor Raff. "Saldırı hala aktif olduğu için, kurbanların sayısı muhtemelen daha yüksek olacaktır."