211service.com
Bungling Cyber Spy sleduje Írán
Během posledních dvou let byly vlády na Blízkém východě terčem sofistikovaného špionážního softwaru, který zjevně vytvořili světoví výzkumníci, kterým neznámé národní státy platí za cílení na citlivá data a infrastrukturu. Přesto je nejnovější malware úspěšně špehovající banky, vládní úřady a společnosti v Íránu a okolních zemích téměř směšně amatérský. Odborníci se domnívají, že software zvaný Mahdi mohl být vytvořen aktivisty. Tato možnost naznačuje, že Spojené státy a další vlády, které se obávají své zranitelnosti vůči kybernetické válce (viz Šéf NSA chce větší kontrolu nad sítí ), se možná budou muset starat o víc než jen o jiné národy.
Jedna z mých prvních reakcí byla ‚Děláte si srandu?‘ říká výzkumník Roel Schouwenberg ze společnosti pro počítačovou bezpečnost Kaspersky , odkazující na nešikovně vytvořený malware. Mahdi, který byl pojmenován výzkumníky, kteří program objevili v izraelské bezpečnostní společnosti Seculert , je nabušený, zabugovaný a napsaný za použití technik, které naznačují, že jeho tvůrci jsou výrazně méně talentovaní než ti, kteří stojí za Stuxnetem, Flame nebo Gaussem, říká Schouwenberg. Tyto formy malwaru zaměřené na Blízký východ ohromily výzkumníky svou propracovaností (viz Cesta k útoku na jaderné elektrárny a Antivirová éra skončila).
Přesto byl Mahdi stále účinný. Jakmile pronikne do počítače, tajně odešle data zpět svým operátorům – dokumenty, protokoly stisknutých kláves, zvukové nahrávky a snímky obrazovky aktivit, jako je přístup uživatele k e-mailu. Podařilo se jí infiltrovat společnosti ve finančním sektoru a kritické infrastruktuře, říká Schouwenberg. Mezi další cíle patří vládní ministerstva a inženýrští výzkumníci a studenti.
Ačkoli zřejmě nástroje podporované národem, jako jsou Stuxnet, Flame a Gauss, útočily na podobné cíle, Mahdiho hrubý design vyvolává vyhlídku, že žádná vláda nezaplatila účet za jeho vytvoření, říká Aviv Raff, spoluzakladatel společnosti Seculert. Protože je to rychlá a špinavá práce, věříme, že by to mohla být práce ‚hacktivistů‘, nikoli přímo národně-státem sponzorované skupiny, říká.
Dokázat, že by to bylo téměř nemožné, ale Mahdi přinejmenším ukazuje, že v dnešní době nepotřebujete zdroje ani dovednosti Jamese Bonda, abyste se mohli zúčastnit špionáže na vysoké úrovni. Hacktivistické skupiny jako Anonymous a LulzSec se loni dostaly do titulků tím, že zaútočily na známé weby, aby upozornily na kauzy, jako je Wikileaks. Mahdiho úspěch naznačuje, že takové skupiny by mohly udělat víc než jen uspořádat internetový ekvivalent ničivých protestů.
Mahdi se šíří prostřednictvím přílohy e-mailu, která otevře prezentaci, která uživatele požádá, aby proklikal řadu snímků a nakonec spustil program vložený do jednoho z nich. Naproti tomu sofistikovaný malware, jako je Flame nebo Gauss, může infikovat počítač bez přímého zapojení uživatele pomocí zranitelností softwaru, které zkušeným hackerům trvá měsíce, než je objeví. Flame také zahrnoval komplexní kryptografii, kterou by dokázal vytvořit jen málo lidí na světě, říká Schouwenberg, a udělal nemyslitelné kompromitováním aktualizačního systému Microsoft Windows. Flame byl nejlepší lidé na světě, říká. Mahdi se opravdu nesrovnává.
A přesto Mahdi nadále úspěšně infikuje nové cíle, zatímco Stuxnet, Flame a Gauss byly deaktivovány brzy poté, co se bezpečnostní výzkumníci uzavřeli (viz Cyber ‚Warhead‘ With an Unknown Target ). Společnost Seculert poprvé identifikovala Mahdiho v únoru a na veřejnost se dostala spolu s Kaspersky 17. července, ale malware stále funguje a je vylepšován. Stále aktivně pracují na infikování strojů, říká Raff. Pokusili se také přidat další funkce a také se vyhnout detekci ze strany dodavatelů antivirových programů.
Schouwenberg říká, že Mahdi se zvětšil z jednoho megabajtu na 10 megabajtů. Ale i takový zmatek v programu, říká, může být efektivní, když společnosti a vládní organizace používají špatné bezpečnostní postupy a nedokážou správně izolovat své nejcennější sítě od těch, které se používají pro méně kritické úkoly.
I když máme možnost sledovat malware při práci, je nepravděpodobné, že bude odhalen Mahdiho skutečný původ. Původně byl řízen přes server v Íránu, ale nyní je provozován pomocí několika serverů v Kanadě, říká Raff. Ty jsou pravděpodobně placeny za použití falešných přihlašovacích údajů nebo byly převzaty pro účely útoku. Pokud by proti nim byla přijata opatření, operátoři Mahdi by prostě vytvořili více nebo by se rozplynuli a vrátili se s novým nástrojem, říká Schouwenberg. Zůstane tedy záhadou, zda je Mahdi nástrojem hacktivistů nebo národního státu hrajícího si na hlouposti.