חברות אבטחה איתרו סוס טרויאני ממקור איראני שפרץ למחשבי בכירים בישראל

סוס טרויאני שפרץ למאות מחשבים, חלקם בישראל, התגלה באחרונה על ידי מומחי מעבדת קספרסקי (Kaspersky Lab) וסקיולרט (Seculert) הישראלית, שמתמחה באיתור איומי סייבר. שמה של הנוזקה הוא מאהדי, כשמו של המשיח השיעי.

הסוס הטרויאני פועל מזה כמה חודשים ואוסף מידע, צילומי מסך וחומר רגיש מאישים שקשורים לתשתיות לאומיות, גופים פיננסיים ומוסדות אקדמיים. מומחי אבטחה איתרו בו רכיבים שמעידים, כי מקורו באיראן. מאהדי עומד במרכזו של קמפיין ריגול מקוון שפועל במזרח התיכון. הוא מופעל במסגרת קמפיין פריצה למערכות, שמתבסס על רשתות חברתיות ופוגע במטרות נקודתיות שתוכננו מראש.

מעבדות קספרסקי, שמיוצגת בישראל על ידי פאואר תקשורת, וסקיולרט עבדו יחד לחסימת שרתי השליטה והבקרה במאהדי, ואז זיהו יותר מ-800 קורבנות שנפרצו בישראל, באיראן ובכמה מדינות נוספות בעולם בשמונת החודשים האחרונים. ניתוח המחשבים שנפרצו מראה שהגורם שעומד מאחורי הקמפיין פרץ למחשבי אנשי עסקים שעבדו על פרויקטים שקשורים לתשתיות לאומיות, ביניהם מחשבים של מוסדות כלכליים, סטודנטים להנדסה וגופים ממשלתיים ברחבי המזרח התיכון.

בנוסף, ניתוח הפריצות גילה מספר חריג ביותר של מסמכים רגישים בעלי אופי דתי או פוליטי שנוצלו על ידי הפורצים ברגע שבוצעה ההשתלטות הראשונית על המחשב. המטרה בכך הייתה להסיח את הדעת של קורבנות ההשתלטות.

היקף הגניבה: כמה ג'יגה-בייטים
הסוס הטרויאני מאהדי מאפשר למפעילים שלו לגנוב קבצים רגישים ממערכות חלונות (Windows) אותן הדביק, לנטר תקשורת – מיילים והודעות בתוכנות מסרים מידיים – להקליט אודיו בסביבת המחשב, לגנוב לוגים ולבצע צילומי מסך של המחשב הנגוע. לפי המידע שנותח, ככל הנראה גנבו הפורצים מהמחשבים הנגועים מידע בהיקף של כמה ג'יגה-בייטים.

הריגול נעשה אחרי יישומים פופולריים רבים במחשבים הנגועים, בהם ג'י-מייל (Gmail), הוטמייל (Hotmail), שירות הדואר של יאהו! (!Yahoo), סקייפ (Skype), גוגל פלוס (+Google), פייסבוק (Facebook) ו-ICQ. המעקב בוצע גם אחרי מערכות ERP ו-CRM, אנשי קשר עסקיים ומערכות ניהול מידע פיננסי.

מערכות האנטי וירוס של קספרסקי איתרו את נוזקת מאהדי בגרסאות שונות ביחד עם רכיבים ומודולים שלה, וקטלגו אותה בתור Trojan.Win32.Madi.

לדברי ניקולס ברולז, חוקר נוזקות בכיר במעבדת קספרסקי, "הנוזקה בה השתמשו מפעילי מאהדי היא אמנם בסיסית מאוד ביחס לנוזקות מתקדמות שנחשפו באחרונה, אולם המפעילים הצליחו לבצע מעקב הדוק וחשאי נגד משתמשים בפרופיל גבוה ואח"מים". הוא העריך ש-"ייתכן שהגישה החובבנית והפשטנית עזרה למבצע הזה לטוס מתחת לרדאר ולהצליח שלא להתגלות".

אביב ראף, סמנכ"ל הטכנולוגיות של סקיולרט, אמר ש-"מעניין שהניתוח שלנו חשף בנוזקה ובכלי השליטה והבקרה בה הרבה מחרוזות בשפה הפרסית, שהן דבר שחריג למצוא בקוד זדוני. התוקפים ללא ספק שולטים בשפה זו".