Ortadoğu’nun Yeni Siber Casusu “Madi”

Kaspersky Lab’in tehdit saptama şirketi Seculert ile son keşfi Ortadoğu’nun yeni siber casusu “Madi” oldu. Son 8 aydır, 800’den fazla kurbana saldıran Madi, özellikle iş adamlarını ve öğrencileri hedef almış.

Güvenli içerik ve çözümleri geliştiricisi Kaspersy Lab, gelişmiş tehdit saptama şirketi Seculert ile yürüttüğü ortak çalışma sonucu, siber casusluk operasyonu “Madi”yi ortaya çıkardı. Kaspersky Lab tarafından yapılan açıklamaya göre Madi, Ortadoğu’daki kurbanları hedef alan ve sosyal mühendislik tasarımları üzerinden seçilen hedeflere zararlı “Trojan”lar yollayan bir bilgisayar ağı filtreleme operasyonu olarak tanımlanıyor.

Madi Command&Control (C&C) sunucularını çökertmek ve operasyonu görüntülemek için başarılı bir çalışma yürüten Kaspersky Lab ve Seculert ekipleri, son 8 aydır başta İran ve İsrail olmak üzere, C&C sunucularına bağlanan dünya üzerinde 800’den fazla kurban olduğunu tespit ettiler. İstatistiklere göre kurbanların çoğunu İran ve İsrail için önemli altyapı projelerinde çalışan iş adamları, Ortadoğu mühendislik öğrencileri ve Ortadoğu ile iletişim halinde olan çeşitli resmi kurumların çalışanları oluşturuyor. Buna ek olarak, zararlı yazılımların incelenmesiyle ortaya çıkan sonuca göre, ilk Trojan’la birlikte bilgisayarlara kafa karıştırıcı dini ve politik dokümanlar da ulaştırılmış durumda.

Farsça dizilime rastlandı

Kaspersky Lab, Zararlı Yazılım Araştırma Sorumlusu Nicolas Brulez, Madi operasyonu ilgili şu yorumda bulundu: “Benzer diğer projelere kıyasla zararlı yazılım ve altyapı oranı oldukça temel seviyede görünüyor olsa da, Madi ataklarını düzenleyenlerin yüksek profildeki kurbanlara karşı aralıksız bir denetim operasyonu sürdürdüklerini tespit ettik. Bunun amatör ve basit yaklaşımı, operasyonun radardan kaçmasını sağlayarak, tespit edilmesini zorlaştırdı.”

Seculert, Teknoloji Sorumlusu Aviv Raff ise, iki firmanın ortak analizi sonucunda, zararlı yazılımlar ve C&C araçları boyunca dağılan birçok Farsça diziliminin de ortaya çıkarıldığını belirtiyor. Raff, “Zararlı kodlarda böyle bir şeyi tespit etmek olağan değil. Muhtemelen atakları düzenleyenler bu dili oldukça iyi biliyor” yorumunda bulunuyor.

Mail adreslerinden ve Facebook’tan saldırıyor

Madi, virüs bulaşmış bilgisayarlardan önemli dosyaları çalma, e-posta ve anlık mesaj gibi önemli iletişim ağlarını görüntüleme, ses ve tuş darbelerini kaydetme ve kurbanların faaliyetlerinin ekran resmini çekme gibi özelliklere sahip. Veri analizine göre, kurbanların bilgisayarlarından yüksek miktarda veri alınmış.

Siber casusluğun yapıldığı ortak uygulamalar ve web siteleri ise Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google ve Facebook olarak sıralanıyor. Denetim, entegre edilmiş ERP/CRM sistemleri, iş kontratları ve finansal idare sistemlerinden gerçekleştirilmektedir.

Kaspersky Lab Anti-Virüs sistemi, Madi zararlı yazılım ve onunla alakalı olan diğer modülleri Trojan.Win32.Madi. olarak sınıflandırmıştır.

Kaspersky Lab uzmanlarının tüm araştırmasına ulaşmak için Securelist’i ziyaret ediniz. Seculert’in Madi operasyonuyla ilgili araştırmasına ulaşmak için SeculertBlog’u ziyaret ediniz.

 

Yorum yapın