Madi napada bližnjevzhodne tarče

Matej Huš

19. jul 2012 ob 00:29:56

V zadnjem času postaja internetno vojskovanje z virusi in črvi, ki imajo nalogo pridobiti čim več informacij o sovražniku in po možnosti sabotirati njegovo kritično infrastrukturo, vedno bolj priljubljeno. Po Stuxnetu in letošnjem hitu poletja Flamu so v več bližnjevzhodnih državah zaznali novega nepridiprava z imenom Madi. O okužbah poročajo iz Izraela, Irana in Afganistana, tako da odpade teorija o izraelsko-ameriški navezi, ki je zakrivila Stuxnet in bržčas tudi Flame.

Tudi sicer je med Flamom in Madijem nekaj pomembnih razlik. Glavna med njimi je kompleksnost, saj se Madi s precej bolj znamenitim predhodnikom ne more niti primerjati. Tako ni jasno, ali je Madi delo kakšne vladne agencije, kot je bil Stuxnet in skoraj zagotovo tudi Flame. To možnost nakazuje ciljanost napada, saj gre v osnovi za ribarski program, ki pa svoje tarče zelo precizno izbira (spearphishing). Zla koda se ugnezdi med datoteke z dokumenti (besedila, preglednice, predstavitve ...) in se pri odprtju namesti na računalnik. Po namestitvi se poveže z enim izmed štirih nadzornih strežnikov in pošilja zbrane informacije. Črv zbira množice podatkov: vsebine elektronskih sporočil, IM, avdio in video komunikacijo, posnetke zaslonske slike ipd.

Zanimivo je, da čeprav tehnično Madi ni zapleten črv, je uspešno okužil kopico računalnikov, ki pripadajo pomembnim strankam. Analiza kode, da je v njem obilica perzijskih izrazov, tako da so morali avtorji govoriti (tudi) ta jezik.