En ny orm herjer i midtøsten. Bildet viser NorCERT – Norges nasjonale kybersenter. (Bilde: Vegar Jansen, Hardware.no)

Ny spionorm angriper Midtøsten

«Mahdi» har infisert en rekke maskiner.

I kjølevannet av det massive kyberangrepet «Flame», som USA og Israel angivelig stod bak, har man nå oppdaget en ny ondsinnet dataorm i Midtøsten. 800 maskiner med kritiske funksjoner skal være infisert.

Det er forskere hos sikkerhetsselskapet Seculert som først fant ormen. De tok så kontakt med et annet selskap, Kaspersky Labs, og sammen jaktet de ned dataormen. De har gitt den navnet Madi eller Mahadi, nært beslektet en frelser av Islam, da dette var et ord som gikk igjen i ormens kode.

Bli kjent med temaet: Dataormer og virus er fremtidens våpen »

800 kritiske maskiner rammet

Mahadi er en spionorm som er rettet mot sensitive organisasjoner i Midtøsten. Den har infisert 800 maskiner som styrer kritisk infrastruktur, finansinstitusjoner og offentlige organer.

Spredningen av spionormen.
Spredningen av spionormen.Foto: Seculert

Ormen søker igjennom e-poster, passord og andre viktige datafiler. Den loggfører det brukerne skriver, tar skjermdumper og kopierer alt av meldinger som blir sendt via tjenester som Gmail, Hotmail, Skype, Yahoo! Mail, Facebook og mye mer. Hvis den infiserer en maskin med en mikron, kan ormen også ta opp lyd fra rommet maskinen står i.

Det er maskiner i Iran, Israel, Afghanistan, De forente arabiske emirater og Saudi-Arabia som er rammet.

Amatørpreget

Forskerne trodde først det var snakk om en ny variant av «Flame», som ble brukt til å bremse Irans atomprogram. Etter en nærmere kikk fant de flere klare forskjeller. Mahadi har gått etter kjente sikkerhetshull og var avhengig av en godtroende mottaker. Sikkerhetsselskapene karakteriserer kildekoden som «amatørpreget».

Flame var på sin side nesten innovativ i en slik sammenheng. Den utnyttet en helt ukjent sikkerhetsfeil i Windows Update, og flere eksperter mente lenge at Flame var så avansert at den måtte være sponset av en stat.

Om spionviruset er sponset av en stat denne gangen, vil hverken Kaspersky Labs eller Seculert si noe spesifikt om enda.

Startet i fjor

Et av bildene som lurer mottakeren.
Et av bildene som lurer mottakeren.Foto: Kaspersky Labs

Ormen ble spredd via en e-post som var lastet med nyheter, video og diverse bilder av religiøs karakter. Innholdet var kodet med en teknikk som manipulerte filnavnene. Klikket leseren på noe av innholdet, ble maskinen infisert.

Angrepet har garantert pågått siden desember i fjor, men det kan ha startet tidligere, sier sikkerhetsselskapene.

Mye av kommunikasjonen mellom de infiserte maskinene og bakmennene foregikk på persisk, Farsi, og flere av datostemplene går ut i fra den persiske kalenderen. Om dette er et tegn på opphavet til bakmennene, eller bare en avledningsmanøver, er ikke kjent.

(Kilder: Ars Technica)

Kommentarer (10)

Norges beste mobilabonnement

Desember 2016

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Telia Smart Total


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen