Nieuwe spionagetool besmet systemen Midden-Oosten

Een trojan heeft honderden systemen in het Midden-Oosten geïnfecteerd bij wat volgens Kaspersky een nieuwe cyberspionage-campagne lijkt te zijn. Trojan Mahdi is veel eenvoudiger dan Flame en Stuxnet en bevat veel Perzische tekenreeksen.

Kaspersky Lab en Seculert hebben een nieuwe trojan ontdekt die vooral systemen in het Midden-Oosten lijkt te besmetten en deel lijkt uit te maken van een door staten uitgevoerde spionagecampagne. De trojan werd ontdekt via een e-mail die een besmet Worddocument leek te bevatten, dat na opening de malware binnensmokkelde en een tekstbestand met de naam Mahdi. De trojan is vernoemd naar deze aanduiding, die volgens sommige islamitische richtingen verwijst naar de verlosser die het einde der tijden komt aankondigen.

Volgens Kaspersky wordt de trojan-downloader ook verspreid via PowerPoint-presentaties en uitvoerbare bestanden die zijn vermomd als afbeeldingen en video, waarbij de teksten de ontvanger moeten verleiden de bestanden te openen. Terwijl de afbeeldingen en video's de gebruiker het gevoel geven dat er niets aan de hand is, draaien op de achtergrond keyloggers, screenshot capture-programma's en datagrabbers, terwijl ook audio opgenomen kan worden en backdoors kunnen worden bijgewerkt. De tot nu toe gevonden backdoors zijn geschreven in Delphi.

Ook Gmail, Hotmail, Yahoo Mail, ICQ, Skype, Google+ en Facebook werden in de gaten gehouden, en daarnaast voerde de malware een scan uit op geïntegreerde erp/crm-systemen, zakelijke contracten en financieel-managementsystemen.

Mahdi

De malware heeft wat opzet betreft niets gemeen met geavanceerde code zoals die van Stuxnet en Flame. Volgens Kaspersky zijn de gebruikte technieken simpel maar doeltreffend. De reden dat de bedrijven toch denken dat de aanval onderdeel is van staatsspionage, is dat de meerderheid van de gevonden 800 geïnfecteerde systemen in Iran en Israël stond. "Uit de statistieken blijkt dat de slachtoffers voornamelijk mensen zijn uit het bedrijfsleven die werken voor Iraanse en Israëlische kritieke infrastructuurprojecten, Israëlische financiële instellingen, technische studenten uit het Midden-Oosten en diverse overheidsinstellingen in het Midden-Oosten", zegt Kaspersky.

De beide bedrijven wisten de controle te krijgen over de beheerservers van Mahdi en hebben zo een goed beeld kunnen krijgen van de werking. Volgens Aviv Raff, Chief Technology Officer bij Seculert, is het opvallend dat de kwaadaardige code veel Perzische tekenreeksen bevatte: "De aanvallers spraken deze taal ongetwijfeld vloeiend."

Mahdi infectierates

IT-banen

Reacties (44)

THA_ErAsEr 18 juli 2012 15:37

People, people, people...

- Als iemand in het Nederlands een document schrijft, is het nog geen Belg of Nederlander he...

- ~500 geïnfecteerde pc's en er wordt al internationaal aandacht aan gegeven? Als er 1 domein admin binnen een middelmatig bedrijf het in zijn bolletje krijgt om even malware naar alle pc's te pushen heb je meer geïnfecteerden.

- Ze noemen dit complexe software. Misschien staat de anti-malware en anti-virus software gewoon achter op dit gebiedt. Het is niet dat deze programmeurs iets nieuws hebben uitgevonden of zero-day exploits hebben gebruikt.

Correct me if I'm wrong.

GivAhuG 18 juli 2012 13:24

Vreemd eigenlijk, Iran is het sterkst geraakte land en toch lijkt de code dus uit deze regio vandaan te komen. Is de code dan uit de hand gelopen (is dat mogelijk?) of mis ik iets?

Zoijar @GivAhuG • 18 juli 2012 13:29

Sommige overheden bespioneren ook graag hun eigen burgers. Iran staat wel redelijk hoog in dat lijstje.

Verwijderd @Zoijar • 18 juli 2012 22:55

Even voor de duidelijkheid. Welk systeem treft dit?
Is het IOS, Linux of Windows?

Ik heb het vermoeden dat het Windows is gezien de verwijzing naar word en powerpoint.
Toevallig producten van dezelfde maker?

[Reactie gewijzigd door Verwijderd op 23 juli 2024 12:22]

Makkelijk @GivAhuG • 18 juli 2012 13:29

Niets is populairder om te bespioneren dan je eigen bevolking

Eagle Creek

@Makkelijk • 18 juli 2012 13:44

De malware heeft wat opzet betreft niets gemeen met geavanceerde code zoals die van Stuxnet en Flame. Volgens Kaspersky zijn de gebruikte technieken simpel maar doeltreffend.

In het licht van jouw opmerking en bovenstaand citaat vraag ik mij eerlijk gezegd ook af in hoeverre dit nu spannend nieuws is. Stuxnet, Flame en Duqu kregen de volle aandacht en men was onder de indruk van doel, schaal en complexiteit.

De kans is in mijn ogen groot dat malware van het niveau Mahdi al jaren circuleerde zonder dat mensen in de industrie zich daar bijzonder druk om maken. Omdat nu de focus ligt op "Midden-Oostenmalware" lijkt de media er snel bovenop te duiken zonder dat er volgens mij opeens een zeer grote dreiging vanuit gaat.

Het is wellicht wel zoals media werken maar je moet wel oppassen dat je geen vertekend beeld krijgt op deze manier. Mikko Hypponen (F-Secure) heeft toegegeven dat de security-industrie flinke missters heeft gemaakt met Flame en Stuxnet (http://www.naturalnews.co...ity_threat_antivirus.html). Je kunt je dus afvragen of de echt belangrijke dreigingen wel op tijd opgemerkt zullen worden en of het melden van dit soort 'kleine' bedreigingen wel de moeite waard zou moeten zijn..

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 12:22]

Verwijderd @Makkelijk • 19 juli 2012 10:13

Niets is populairder om te bespioneren dan je eigen bevolking

En behalve Iran kan Nederland daarover meepraten

Dit is de meest efficiente manier om iets van je vijand te weten te komen,cyberspionage/cyberwar.

mjtdevries @GivAhuG • 18 juli 2012 13:46

Uit de regio is wat anders dan uit Iran.

Je moet bedenken dat er een boel arabische landen in die regio zijn die zeer vijdanig tegenover Iran staan.

Denk maar aan de cables die via wikileaks bekend werden waarin de Saudische regering er bij de VS op aan zat te dringen om Iran aan te vallen, maar wat de VS weigerde.

Makkelijk @mjtdevries • 18 juli 2012 14:31

In de Arabische landen die zeer vijandig tegenover Iran staan wordt geen Perzisch gesproken.

mjtdevries @Makkelijk • 18 juli 2012 15:56

@Makkelijk & @Ilblies.

Als jullie mijn reactie goed lezen, dan zul je zien dat ik nergens beweer of zelfs maar suggereer dat Iran een arabisch land is.

Dat er perzische tekens gebruikt worden zegt niets aangezien je meer kans hebt dat iemand zo'n mailtje/powerpoint/filmpje bekijkt als het in zijn eigen taal geschreven is.

Als je een phising mail over de rabobank maakt dan heb je ook meer kans dat ie lukt als ie in het Nederlands is opgesteld dan in een buitenlandse taal. Dat betekent echter niet dat de maker ook uit Nederland komt.

En er is natuurlijk ook altijd een kans dat het gevluchte Iraniers zijn die vanuit de buurlanden een cyberaanval doen.

[Reactie gewijzigd door mjtdevries op 23 juli 2024 12:22]

Muldert @Makkelijk • 18 juli 2012 18:15

Afghanistan. Is zeker geen vrienden met Iran, integendeel.

Verwijderd @Makkelijk • 19 juli 2012 10:16

In de Arabische landen die zeer vijandig tegenover Iran staan wordt geen Perzisch gesproken.

offtopic:
Meer daarover
http://nl.wikipedia.org/wiki/Perzisch

vstrien @mjtdevries • 18 juli 2012 13:48

Iran is echter geen Arabisch, maar Perzisch (Farsi) land.

Iblies @vstrien • 18 juli 2012 14:25

Die scheidslijn kun je zo niet trekken. Een echt arabisch land bestaat namelijk ook niet. Het grote verschil dat je kunt maken is dat Iran sjiiettisch is met bijbehorende ideologieën en SaoediArabie soenniet is. Daarbij komt nog dat sjiieten ervan overtuigd zijn dat ze een bepaalde voorbestemming hebben op deze wereld en wachten zo op een profeet voor de dag der oordeels waarbij de ware moslim cq overtuigd sjiiet, genade zal kennen.

Die overtuiging lijkt wat dat betreft precies op die van hun grote brother in crime Israël.

De keus die SA dan maakt is dan vrij simpel, rust in de tent en omgeving, of constant trammalant.
The enemy of my enemy is my friend.

Makkelijk @Iblies • 18 juli 2012 14:30

Die scheidslijn kun je in deze context wel trekken, in Saoedi Arabië zul je weinig mensen Perzisch horen spreken.

Iblies @Makkelijk • 18 juli 2012 15:23

De afkeer jegens Iran is niet te herleiden tot een taalbarrière
maar is gebaseerd op religieuze gronden en de daaruit voortvloeiende politiek.

mae-t.net

Malware

@Iblies • 19 juli 2012 02:45

Ja en nee. De geboren Perzen die Perzisch spreken (alleen arabieren schijnen moeite met de P te hebben en noemen het Farsi, heb ik me laten vertellen), hebben overwegend de ene variant van het geloof terwijl de aanhangers van de andere variant voornamelijk Arabisch spreken.

@indostylo: ik had dat verhaal over de naam Farzi van een Iraanse klasgenoot, maar als jij meerdere Iraanse klasgenoten hebt die het gewoon Farzi noemen dan neem ik dat zonder meer van je aan. Ik zal het zelf wel gewoon Perzisch noemen, zo heet het in het Nederlands nu eenmaal.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 12:22]

indostylo @mae-t.net • 19 juli 2012 03:00

Iraniers noemen het zelf ook Farzi.

jackyallstar @GivAhuG • 18 juli 2012 13:47

of, je doet alsof je wordt aangevallen wordt door een ander land om voor de meerderheid van de andere landen een legitieme reden te hebben om het land dat jou zou moeten aangevallen hebben "terug te mogen pakken", en daarmee je offensieve campagne rechtvaardigt.

dit is wat gesuggereerd wordt omtrent de 9/11 gebeurtenissen en zorgt ervoor dat vele landen geen defensieve handelingen uitvoeren omdat er te veel verwarring is omtrent de gebeurtenissen. democratische landen gaan dan meestal eerst maandenlang onderzoeken plegen en discussiëren met elkaar als ze in een vennootschap zitten. genoeg tijd om of zo ver mogelijk te komen met je eigen plan dat je bijna niet meer weg te slaan bent, of er zo diep in zit dat het zelfs moet gebeuren wegens de voordeeltjes van ieder land in dit verhaal en de waarheid weer verstopt moet worden om deze voordeeltjes te waarborgen.

dit is uiteraard maar een doom-scenario perspectief van een buitenstaander die dit artikel alleen maar heeft gelezen, maar het is niet ondenkbaar.

crazylemon @GivAhuG • 18 juli 2012 16:04

Offfffffff.... je pleurt wat perzische tekens erin En...... tada de secu-nerds weten zekerrrr dat het door een arabier geschreven is.
Kom op zeg... In deze tijd van false-flag campaigns moeten wij toch wel beter weten.

mae-t.net

Malware

@crazylemon • 19 juli 2012 02:34

Arabieren schrijven juist geen Perzisch, dat doen de ethnische Iranezen. Laat die laatste groep maar niet horen dat je ze voor Arabieren uitscheldt.

Het is dus of een bewuste verdachtmaking door een pro-Arabische (de eigen overheid? een extremistische beweging?) of pro-Israelische (de geciteerde persoon heeft nogal een Israelische naam en bovendien gaan de verhalen dat Israel bij eerdere malwareverspreidingen betrokken zou zijn geweest) groep of instelling, of wat Perzische hackers zijn zo stom (of trots?) geweest om hun identiteit prijs te geven.

[Reactie gewijzigd door mae-t.net op 22 juli 2024 22:41]

indostylo @crazylemon • 19 juli 2012 02:55

Ik moest lachen toen ik je bericht las, ik heb best wel veel Iraanse klasgenoten (internationale klas) anders dan de Iraanse mensen die hier zijn opgegroeid, kunnen ze het niet waarderen dat ze als een Arabier uitgemaakt worden.

Het conflict tussen Perzen en Arabieren is groter dan men denkt. Soms maak ik wel eens grapjes met hun, bijv dat ik de Perzische Golf de Arabische Golf noem, beginnen ze al te mopperen.

postbus51 @GivAhuG • 18 juli 2012 23:17

Dus een tekenreeks gebruiken zegt nu dus al wie en wat
En dan spreekt men van "kat in het bakkie"

Zoijar 18 juli 2012 13:26

is het opvallend dat de kwaadaardige code veel Perzische tekenreeksen bevatte: "De aanvallers spraken deze taal ongetwijfeld vloeiend."

Dat hoor je wel vaker, en dat snap ik niet zo goed: als je zo'n trojan schrijft dan haal je hem toch aan het eind nog wel even door iets van een symbol table obfuscator (of helemaal strippen voorzover mogelijk) voordat hij de wereld in gaat? Of is dit gewoon een kwestie van onwetendheid en "slechte" code? Waar kan je anders nog daadwerkelijke tekst aan zien?

(Je zou haast denken dat het zo'n domme fout is dat het wel opzet moet zijn...)

[Reactie gewijzigd door Zoijar op 23 juli 2024 12:22]

schaafkaas @Zoijar • 18 juli 2012 15:46

Inderdaad, dit kan overal vandaan komen. Een gewapend conflict tussen Iran en Israel treft vele landen. China heeft belang bij de olie industrie in Iran (Nu de EU Iran boycott, kan alleen Azie deze nog kopen). Ook Rusland handelt veel met Iran. En geen van de buurlanden zit te wachten op oorlog. De VS en de EU willen voorkomen dat Iran een nucleaire macht wordt, het liefst zonder eenzijdig militair ingrijpen van Israel. Kortom spionage in deze regio is een groot wespen nest.

Deze trojan is weliswaar niet zo geavanceerd, maar met 800 besmettingen bij relevante personen, mogelijk best effectief geweest. Een beetje inzicht in de kans op een conflict en hoe dit zou verlopen is voor veel landen waardevol.

Verwijderd @schaafkaas • 19 juli 2012 10:25

Inderdaad, dit kan overal vandaan komen. Een gewapend conflict tussen Iran en Israel treft vele landen. China heeft belang bij de olie industrie in Iran (Nu de EU Iran boycott, kan alleen Azie deze nog kopen). Ook Rusland handelt veel met Iran. En geen van de buurlanden zit te wachten op oorlog. De VS en de EU willen voorkomen dat Iran een nucleaire macht wordt, het liefst zonder eenzijdig militair ingrijpen van Israel. Kortom spionage in deze regio is een groot wespen nest.

offtopic:
De VS zal er alles aan doen om te zorgen dat Iran geen kernwapens kan maken cq gebruiken. Daar was Hilary Clinton duidelijk in 2 dagen geleden.
Als daar gewapend geweld voor nodig is zullen ze dat inzetten. Vergeet niet dat ze PRO Israel zijn. En Israel heeft kernwapens, als enige in die regio
http://www.nu.nl/buitenla...-clinton-jegens-iran.html

Vooraleerst moeten Rusland en China zich diep schamen omdat ze hun vetorecht binnen de VN misbruiken tenaanzien van Syrie, waar burgers afgeslacht worden.

Deze trojan is weliswaar niet zo geavanceerd, maar met 800 besmettingen bij relevante personen, mogelijk best effectief geweest. Een beetje inzicht in de kans op een conflict en hoe dit zou verlopen is voor veel landen waardevol.

En de meeste van die besmettingen zitten in Iran. Het is altijd handig om te weten hoe de vijand ervoor staat. Dus ik denk dat het uit een andere hoek komt, die er meer belang bij hebben. Wie?Dat laat zich raden.

copywizard 18 juli 2012 13:27

misschien de andere kant op denken USA etc.. die expres de tekens erin heeft gestopt om schijn op te wekken?

Makkelijk @copywizard • 18 juli 2012 13:31

Ik at laatst een stroopwafel en iemand zei dat de USA er achter zat..

Really, voor wie moeten ze de schijn opwekken? Ze hebben met een half been toegegeven achter stuxnet te zitten, het is juist lekker intimiderend voor Iran om te zeggen dat je ze digitaal aanvalt. Dit is gewoon een Iraanse trojan om het eigen volk te bespioneren.

Als er Perzisch in staat zal de trojan zeer waarschijnlijk uit Iran, Oezbekistan, Tadzjikistan, Afghanistan of Bahrein komen. Ik denk dan toch het eerste.

[Reactie gewijzigd door Makkelijk op 23 juli 2024 12:22]

Makkelijk @To_Tall • 18 juli 2012 14:36

Als iemand echter niet weet dat hij bespioneerd wordt kun je hem beter spioneren. Vandaar dat er altijd veel getapt en gefilmd werd. Infiltreren of invallen heeft minder zin omdat het minder stealth is.

Een trojan is niets meer dan een digitaal alternatief voor afluisterapparatuur, telefoontaps en verborgen camera's. Als een regering die dingen doet, dan zal diezelfde regering ook wel trojan's gebruiken. Het is niet veel kostbaarder om zoiets ongezien te plaatsen en onderhouden.

SuBBaSS @Makkelijk • 18 juli 2012 14:06

Aparte bewoordingen en aparte conclusie trek je!
"Met een half been toegeven"? Wat is dat dan voor taalverrijking? Als je gewoon maar wat verzint is het voor de lezer wat lastig om precies te peilen wat je bedoelt.

Daarnaast: wat zegt het nou helemaal dat er Perzische tekst in staat? Alsof er geen Perzisch sprekende mensen in bijv. Amerika zijn.

Je nick doet je post wel eer aan, dat dan weer wel: (lekker) makkelijk.

Makkelijk @SuBBaSS • 18 juli 2012 14:34

Mijn nick zou jou eerder eer aan doen vriend. Wat verzin ik precies? Politiek is geen exacte wetenschap maar dat Israëlische autoriteiten verklaren achter Stuxnet te zitten en dat Amerikaanse autoriteiten dit niet ontkennen dat zegt toch genoeg?

Ik vind het gewoon vreemd dat iemand niet onderbouwd zegt "de VS zal het wel weer gedaan hebben".

SuBBaSS @Makkelijk • 18 juli 2012 15:16

Wat jij wilt, de conclusie die je trekt snijdt net zo weinig hout als die van degene waar je op ageert, daar gaat het mij om.

Ben het met je eens over Stuxnet, dat ten eerste. De band tussen Amerika en Israël is op z'n zachtst gezegd schimmig, maar dat het geen tegenstanders van elkaar zijn lijkt wel duidelijk.
Je zal het toch met me eens zijn dat de tactiek van "deceiving" al zeker sinds 9/11 een grote sprong gemaakt heeft.
Hell, Obama (heeft er in zijn afgelopen termijn al 923 "executive orders" getekend http://www.pakalertpress....tive-orders-in-40-months/).
De laatste kan ik even wat moeilijk vinden, maar die was in lijn met wat Bush toendertijd wilde met zijn department of disinformation; onzin verspreiden met het doel dat daarmee ook de "zinnige" info als onzin weggezet kan worden.

Met andere woorden: wat er echt speelt is maar moeilijk te achterhalen. Het enige wat je kan doen is proberen het grote plaatje te zien en die lijst met orders geeft wel een mooi inzicht in hoe heet het ze in de VS onder de voeten wordt.
Verder blijft het vooral een "hunch", maar die hebben we allemaal vaker gehad (zoals bijv. de WMD-leugen van Bush waar al snel doorheen geprikt werd).

w4v3g0d @Makkelijk • 18 juli 2012 13:54

Amerika is een raar land, daar zijn ze echt wel zo gek om dat te doen.
Meer dan logisch, maar idd, het is wel wat snel gezegd dat Amerika hier wel weer eens achter zou kunnen zitten.

_-AUSSIE-_ 18 juli 2012 13:39

Ik vraag me af waar die Mahdi beheer servers dan hebben gestaan gestaan...daarvanuit moet toch wel duidelijker naar voren komen wie of wat er baat bij had?

kimborntobewild 18 juli 2012 22:30

Volgens Kaspersky wordt de trojan-downloader ook verspreid via PowerPoint-presentaties en uitvoerbare bestanden die zijn vermomd als afbeeldingen en video, ...

Bedoelen ze hier zoals het aloude Kournikova-virus, waarbij je als extensie jpg ziet omdat Windows zo achterlijk is om de exe per default niet te laten zien?

montagne60 18 juli 2012 16:36

Wat ik me bij zo'n nieuwsbericht altijd afvraag is of virusscanners als AVG en Adware zo'n trojan detecteren en hoe lang het duurt voordat deze in hun database zit.

Wampa1 @montagne60 • 18 juli 2012 21:29

Ligt eraan, als ze bekenden exploits gebruiken lijkt het me wel dat ze hem direct opmerken. Die scanners worden niet voor niks dagelijks geupdate.

Als het om zon super hightech virus als Flame zou gaan vol met zero-days, dan niet.

THA_ErAsEr @Wampa1 • 19 juli 2012 15:51

Ik werk op een servicedesk en geef complete software ondersteuning aan onze klant.

De klant heeft werkt met Trend Micro.

Vaak zien we natuurlijk nieuwe virus infecties opkomen. Wij sporen deze op en verwijderen deze handmatig. Na weken krijgen wij nog steeds dezelfde infecties binnen terwijl security deze virus infecties documenteert en via de juiste kanalen bij de antivirus-leverancier brengt.

De malware van Fed Crime Unit gaat bijvoorbeeld al maanden rond, zonder dat deze automatisch wordt tegen gehouden.

Conclussie:
Het duurt minder lang om een uitgebreid script te schrijven om een bepaald virus te verwijderen, dan dat deze door de antivirus-sftware verwijdert wordt.

laserdesign 18 juli 2012 13:24

digitale oorlog is duidelijk aan het opfleuren
straks spelen ze war games zoals de film

http://en.wikipedia.org/wiki/WarGames

_{edit link naar wikipedia}

[Reactie gewijzigd door laserdesign op 23 juli 2024 12:22]

BSTNjitRam @laserdesign • 18 juli 2012 13:52

Alleen wordt er in War Games geen digitale oorlog gevoerd maar worden er computers gebruikt om echte oorlogen te simuleren / echte oorlogen te voeren (nucleare raketten te lanceren).

Atmosfeer @laserdesign • 18 juli 2012 14:03

Denk eerder een beetje aan een Ghost in the Shell toekomst...

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (44)

Sorteer op:

Weergave: