Výzkumníci Kaspersky Lab společně s bezpečnostní firmou Seculert odhalili Madi - nový špionážní program napadající systémy na Blízkém východě. Madi proniká do počítačových sítí hlavně pomocí zákeřného trojanu, který je rozšiřován pomocí sociálních sítí k pečlivě vybraným cílům.
Odborníci Kaspersky Lab a Seculert pronikli tajně do kontrolních Command & Control (C&C) serverů Madi a přímo sledovali jeho činnost. Identifikovali tak více než 800 napadených obětí z Íránu, Izraele a dalších vybraných zemí po celém světě, které se na servery Madi připojily během posledních osmi měsíců. Ze statistik vyplývá, že mezi obětmi byli primárně lidé z oblasti byznysu, kteří pracovali na íránských a izraelských klíčových projektech infrastruktury, dále izraelské finanční instituce, studenti technických oborů na Blízkém východě a nejrůznější vládní organizace působící v blízkovýchodním regionu.
Vyšetřování malwaru navíc odhalilo nezvyklé množství náboženských a politických materiálů, které měly odvést pozornost. Tyto dokumenty a obrázky pak zmizely v prvních fázích samotné infekce.
„Zatímco malware a infrastruktura Madi jsou velmi jednoduché ve srovnání s jinými podobnými projekty, útočníci byli schopni své významné oběti neustále sledovat,“ říká Nicolas Brulez, Senior Malware Researcher společnosti Kaspersky Lab a dodává: „Možná právě díky amatérskému a primitivnímu přístupu útočníků se jim dařilo operaci provést nepozorovaně a vyhnout se odhalení.“
Trojský kůň Madi, který krade informace, umožní útočníkům získávat citlivá data ze souborů na infikovaných počítačích s operačním systémem Windows, monitorovat soukromou komunikaci, jako například e-maily nebo chat, nahrávat zvuk, odezírat psaní na klávesnici a získávat screenshoty aktivit obětí. Podle analýzy dat bylo z napadených počítačů staženo pravděpodobně mnoho gigabitů dat.
Mezi běžně sledované aplikace a webové stránky patřily Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ a Facebook. Špionáž byla prováděna i na integrovaných systémech ERP/CRM, obchodních smlouvách a systémech pro finanční řízení.
Antivirový systém Kaspersky Lab detekoval varianty Madi malwaru a s ním spojených modulů a označil je jako Trojan.Win32.Madi.
Plnou verzi expertizy Kaspersky Lab naleznete na stránkách Securelist.
Více o výzkumu Madi se dočtete také na SeculertBlog.
