Для распространения троянца и заражения компьютеров жертв использовались методы социальной инженерии, сообщает во вторник сайт «Лаборатории Касперского».
Над серверами управления Madi был установлен контроль экспертами «Лаборатории Касперского» и Seculert, что позволило определить более 800 жертв, находящихся в Иране, Израиле и ряде других стран мира, которые были подключены к командным серверам злоумышленников в течение последних восьми месяцев.
Основной целью атак были люди, имеющие отношение к разработке критически важных инфраструктурных проектов Ирана и Израиля, израильским финансовым организациям, студенты инженерных специальностей, а также различные правительственные структуры, действующие на территории Ближнего Востока.
Кроме того, в ходе детального исследования вредоносной программы было выявлено большое количество «отвлекающих» религиозных и политических документов и фотографий, которые были использованы в ходе заражения компьютеров пользователей.
«Несмотря на то, что используемая вредоносная программа и инфраструктура преступников были далеко не самыми сложными, злоумышленникам удалось в течение достаточно продолжительного времени вести наблюдение за жертвами, – прокомментировал результаты исследования Николя Бруле (Nicolas Brulez), ведущий антивирусный эксперт «Лаборатории Касперского».
«Возможно, именно из-за непрофессионализма организаторов их атаки долгое время оставались необнаруженными», - добавил он.
«Стоит отметить, что в ходе нашего совместного с «Лабораторией Касперского» расследования мы выявили множество персидских «ниточек» как в самом троянце, так и в системе управления им. Наличие подобной информации во вредоносном коде – большая редкость. Нет никаких сомнений в том, что злоумышленники владеют языком фарси на уровне носителей», – уверен Авиф Рафф (Aviv Raff), технический директор компании Seculert.
Троянец Madi предоставляет злоумышленникам удаленный доступ к файлам, расположенным на зараженных компьютерах, работающих под управлением ОС Windows.
Преступники получают возможность перехватывать электронную почту и мгновенные сообщения, включать микрофон и делать аудио-записи разговоров, следить за нажатием клавиш на клавиатуре, а также делать скриншоты рабочего стола жертвы. По данным экспертов, объем данных, переданных с компьютеров жертв, исчисляется гигабайтами.
Среди приложений и Веб-сайтов, которые использовались для слежения за жертвами, Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ и Facebook. Кроме того, для получения дополнительной информации были задействованы ERP/CRM-системы, базы деловых контактов и системы управление финансовой деятельностью.
В антивирусной базе «Лаборатории Касперского» различные модификации троянца Madi, а также связанные с ним модули, в том числе загрузочные, детектируются как Trojan.Win32.Madi.
В конце мая специалисты «Лаборатории Касперского» обнаружили новую вредоносную программу Flame, которая активно использовалалсь в ряде стран в качестве кибероружия и по сложности и функционалу превосходила все ранее известные виды угроз.
Как сообщала газета ВЗГЛЯД, предполагалось, что за серией кибернападений на ядерные объекты Ирана путем внедрения в их компьютерные системы сложного вируса, получившего впоследствии название «Стакснет», несут ответственность американские и израильские спецслужбы.
По ее данным, в 2007 году спецслужбы этих стран разработали сложный компьютерный вирус, способный выводить из строя системы управления центрифуг по обогащению урана.
Покидая Белый дом, президент Джордж Буш настоятельно рекомендовал своему преемнику Бараку Обаме продолжить реализацию секретной программы, получившей название «Олимпийские игры», поскольку она имела очевидные результаты, но пока не успела нанести масштабный ущерб иранской ядерной программе.
Нынешний президент США последовал этому совету и распорядился продолжить атаки. Власти США считают программу «Олимпийские игры» весьма успешной. По их оценкам, она отсрочила создание Тегераном ядерной бомбы на 1,5-2 года.