Mahdi

Cyberspionage gegen hochrangige Ziele

Mittwoch den 18.07.2012 um 14:44 Uhr

von Frank Ziemann

Durch Mahdi angezeigter Zeitungsartikel
Vergrößern Durch Mahdi angezeigter Zeitungsartikel
Ein Sicherheitsunternehmen aus Israel hat eine Cyberspionage-Kampagne entdeckt, deren Ziele im Nahen Osten liegen. Die Opfer sind überwiegend Geschäftsleute im Iran und in Israel, die an Infrastrukturprojekten beteiligt sind.
Das israelische Sicherheitsunternehmen Seculert ist bereits vor einigen Monaten auf eine gezielte Malware-Kampagne aufmerksam geworden, die offenbar dazu dient eine wohl umrissene Zielgruppe auszuspionieren. Seculert hat sich dann an den Antivirushersteller Kaspersky Lab gewandt, um der Sache gemeinsam auf den Grund zu gehen.

Die beiden Unternehmen haben Fallen aufgestellt, die Kommando-Server (C&C-Server) der Spionage-Kampagne unterminiert und die auf den Rechnern der Opfer installierte Malware sowie deren Kommunikation mit den C&C-Servern untersucht. Die über 800 identifizierten Opfer sind vor allem Geschäftsleute, die in Israel und im Iran an wichtigen Infrastrukturprojekten arbeiten, sowie israelische Banken, Studierende der Ingenieurwissenschaften und Regierungsbehörden in mehreren Ländern des Nahen Ostens.

Wie der bekannte Sicherheitsforscher Aviv Raff im Seculert-Blog schreibt, haben die Täter Mails mit einem angehängten Word-Dokument verschickt. Hat das Opfer die speziell präparierte Datei geöffnet, wurde die Spionage-Malware entpackt und gestartet sowie ein sauberes Word-Dokument geladen. Letzteres enthielt einen Artikel über den Cyberkrieg zwischen Israel und dem Iran.

Die Untersuchung der "Mahdi" (oder auch "Madi") getauften Malware hat laut Kaspersky Lab  ergeben, dass sie ungewöhnlich viele Textfragmente in persischer Sprache (Farsi) enthält. Die im Vergleich zu Spionage-Tools wie "Flame"  recht schlichte Software kann auf verseuchten Rechnern Dokumente stehlen, Mails und Chats protokollieren, Audio-Chats mitschneiden, Tastatureingaben erfassen und Screenshots erstellen. Der Schädling hat pro Rechner mehrere Gigabyte solcher Daten an vier C&C-Server übertragen.

Die Untersuchung ist noch nicht abgeschlossen. Bislang ist ungeklärt, wer hinter der Spionage-Kampagne steckt. Eine staatliche Organisation als Betreiber oder Auftraggeber ist eine Möglichkeit, jedoch nicht die einzige.

Mittwoch den 18.07.2012 um 14:44 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
1523518