 Een nieuw virus in het Midden-Oosten lijkt het werk te zijn van Iraniërs. Het nieuwe nummer van PC-Active, waarin een cyberaanval door Iran wordt voorspeld, lijkt bewaarheid te worden. Of is het regime van Ahmadinejad opnieuw slachtoffer van een dirty trick?
Eerder deze week maakten onderzoekers van Kaspersky Lab de resultaten bekend van een onderzoek met betrekking tot Madi. Dit oorspronkelijk door beveiligingsbedrijf Seculert ontdekte virus is de hoofdrolspeler in een infiltratiecampagne van computernetwerken. Madi is een kwaadaardig Trojaans paard dat via social engineering programma’s wordt afgeleverd bij zorgvuldig geselecteerde doelwitten.
Israëli’s en studenten
Kaspersky Lab en Seculert slaagden er samen in om de Command & Control (C&C) servers van Madi binnen te dringen en zo de campagne te volgen. De onderzoekers wisten meer dan achthonderd slachtoffers te identificeren in Iran, Israël en andere landen over de hele wereld die de afgelopen acht maanden verbinding hadden gemaakt met de C&C-servers.
Uit de statistieken blijkt dat de slachtoffers voornamelijk mensen zijn uit het bedrijfsleven die werken voor Iraanse en Israëlische kritieke infrastructuurprojecten, Israëlische financiële instellingen, technische studenten uit het Midden-Oosten en diverse overheidsinstellingen in het Midden-Oosten.
Onderzoek van de malware toonde een grote hoeveelheid religieuze en politieke documenten en beelden aan, die verzonden werden tijdens de initiële infectie om de aandacht van de ontvanger af te leiden.
Surveillance
"Hoewel de malware en de infrastructuur erg eenvoudig zijn in vergelijking met andere, soortgelijke projecten, bleken de Madi-aanvallers in staat een aanhoudende surveillanceoperatie uit te voeren tegen high-profile slachtoffers," aldus Nicolas Brulez, Senior Malware Researcher bij Kaspersky Lab. "Misschien hielp de amateuristische en rudimentaire aanpak de operatie juist onder de radar te blijven en ontdekking te vermijden."
Aviv Raff, Chief Technology Officer bij Seculert, vult aan: "Interessant is dat we tijdens onze gezamenlijke analyse veel Perzische tekenreeksen aantroffen in de malware en de C&C-tools, wat ongebruikelijk is in kwaadaardige code. De aanvallers spraken deze taal ongetwijfeld vloeiend."
Dit zou kunnen duiden op een Iraans maaksel, en dan ligt het voor de hand om te denken aan een tegenaanval na de Stuxnet- en Flame-virussen. Die waren beide gericht tegen het Iraanse kernprogramma en als daders vallen de namen van de Verenigde Staten en Israël.
Maar voordat we al te snelle conclusies trekken: de Perzische code kan heel goed een afleidingsmanoeuvre zijn van een land dat of groepering die Teheran in een kwaad daglicht wil stellen… Bovendien is het door het brede scala aan slachtoffers nog niet meteen duidelijk wie belang heeft bij deze aanval.
Hotmail
Madi’s informatie-stelende Trojan stelt externe aanvallers in staat gevoelige bestanden te stelen van geïnfecteerde Windows-computers. Ook houdt het toezicht op gevoelige communicatie zoals e-mail en instant messaging, neemt het audio op, houdt het een log bij van toetsaanslagen en maakt het screenshots van activiteiten van zijn slachtoffers. Data-analyse suggereert dat diverse gigabytes aan gegevens zijn geüpload vanaf de computers van slachtoffers.
Veelvoorkomende toepassingen en websites die werden bespioneerd, zijn accounts van Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ en Facebook. Ook werd surveillance uitgevoerd op geïntegreerde ERP/CRM-systemen en financiële managementsystemen.
PC-Active # 260
Wie meer wil weten over de cyberoorlog in het Midden-Oosten: het nieuwe nummer van PC-Active beschrijft alle achtergronden van de Flame- en Stuxnet-malware. Ook schetsen we een worst case scenario: wat gebeurt er als Iran onze infrastructuur aanvalt? Over dit laatste artikel schreef Leon Krijnen van Dutch Cowboys:
“Koen Vervloesem schetst een realistische en indringende toekomstvisie van een cyberoorlog zoals die zich ook in Nederland zou kunnen afspelen. Het scenario is opgebouwd na een studie van alle beschikbare actuele data, op basis van een diepgaande kennis van hacking skills. En inderdaad: het las als een kruising tussen een thriller van (Tom, red.) Clancy en een geopolitieke analyse van Stratfor, met veel informatie over lekke SCADA-systemen en het laatste nieuws over het Echelon-spionageprogramma.”
|
