מומחים זרים: זיהינו וירוס שריגל אחרי חברות בישראל ובאיראן - ברשת - הארץ

מומחים זרים: זיהינו וירוס שריגל אחרי חברות בישראל ובאיראן

בחברת קספרסקי גילו כי הווירוס "מאהדי" תקף לפחות 800 יעדים ממוקדים בחברות וסוכנויות ממשל; על פי דיווח, הווירוס פגע גם בבנק הפועלים בפברואר השנה

שתפו כתבה במיילשליחת הכתבה באימייל
עודד ירון

מומחי אבטחה זרים דיווחו כי גילו וירוס ששימש לריגול מקוון בישראל, באיראן ובמדינות נוספות במזרח התיכון ובעולם. גורמים נוספים דיווחו כי מדובר באותו וירוס שהתגלה בבנק הפועלים בפברואר השנה.

על פי הדיווח של חברות האבטחה קספרסקי הרוסית וסקיולרט (Seculert) הישראלית, הווירוס "מאהדי" הוא סוס טרויאני שעומד במרכזו של קמפיין ריגול מקוון שפועל במזרח התיכון.

ניקולס ברולז, חוקר תוכנות מזיקות בכיר במעבדת קספרסקי, הסביר ל"הארץ" כי הווירוס התמקד בריגול אחר חברות תשתיות קריטיות, סוכנויות ממשל, מוסדות פיננסיים ומוסדות אקדמיה. לדברי קספרסקי הווירוס גנב ג'יגה בייטים רבים של מידע.

על פי הדיווח, מאהדי, שזכה לציון Trojan.Win32.Madi בקספרסקי, תקף מטרות נקודתיות שתוכננו מראש תוך שהתבסס על פעולה ברשתות חברתיות.

חברות האבטחה שפעלו לחסימת שרתי השליטה והבקרה במאהדי זיהו יותר מ-800 קורבנות שנפרצו בישראל, באיראן ובמדינות נוספות בעולם בשמונת החודשים האחרונים. על פי חברת סקיורלט, רוב המטרות (387) התגלו  באיראן, במקום השני נמצאת ישראל (54). אחריה מגיעה אפגניסטאן עם 14 בלבד.

ניתוח המחשבים שנפרצו מראה שמי שעומד מאחורי הקמפיין פרץ למחשבי אנשי עסקים שעבדו על פרויקטים שקשורים לתשתיות לאומיות, בהם, במוסדות כלכליים בישראל, מחשבי סטודנטים להנדסה ולמחשבים בגופים ממשלתיים ברחבי המזרח התיכון.

בנוסף, ניתוח הפריצות גילה מספר חריג ביותר של מסמכים רגישים בעלי אופי דתי או פוליטי שנוצלו על ידי הפורצים ברגע שבוצעה ההשתלטות הראשונית על המחשב, כדי להסיח את הדעת של קורבנות ההשתלטות.

"בעוד התוכנה המזיקה עצמה בה השתמשו מפעילי מאהדי היא בסיסית מאוד ביחס לנוזקות מתקדמות שנחשפו לאחרונה, הצליחו המפעילים לבצע מעקב הדוק וחשאי נגד משתמשים בפרופיל גבוה ואח"מים", מסר ברולז. "אולי הגישה החובבנית והפשטנית עזרה למבצע הזה לעבור מתחת לרדאר ולהימנע מגילוי".

"מעניין, שהניתוח שלנו חשף הרבה מחרוזות בשפה הפרסית בתוכנה המזיקה ובכלי השליטה והבקרה בה, שהם דבר שחריג למצוא בקוד זדוני. התוקפים ללא ספק שלטו בשפה זו", מסר אביב ראף, סמנכ"ל הטכנולוגיות של סקיולרט.

הסוס הטרויאני מאהדי מאפשר למפעילים שלו לגנוב קבצים רגישים ממערכות חלונות  שהדביק, לנטר תקשורת – מיילים והודעות בתוכנות מסרים מידיים (כמו מסנג'ר, למשל), להקליט אודיו בסביבת המחשב, לגנוב רשומות ולבצע צילומי מסך של המחשב הנגוע. לפי המידע שנותח, ככל הנראה שהפורצים גנבו מידע בהיקף של מספר ג'יגה בייטים מהמחשבים הנגועים.

מאהדי ריגל בין היתר אחרי יישומים פופולריים רבים במחשבים הנגועים, כמו ג'ימייל, הוטמייל, יאהו מייל, ICQ, סקייפ, גוגל פלוס ופייסבוק. המעקב בוצע גם אחר מערכות ניהול קשרי לקוחות (CRM) ומערכות ניהול משאבי ארגון (ERP).

תגובות

הזינו שם שיוצג כמחבר התגובה
בשליחת תגובה זו הנני מצהיר שהינני מסכים/ה עם תנאי השימוש של אתר הארץ