كاسبرسكي تصدر تحليلاً مفصلاً حول البرنامج الخبيث “مادي”
أعلنت كاسبرسكي لاب وسكيورلرت عن اكتشاف مادي، وهو عبارة عن حملة الكترونية تجسسية في الشرق الأوسط. وقد تمكن مهاجمو مادي من إصابة 800 ضحية في إيران، إسرائيل وأفغانستان وغيرها من الدول في مختلف أنحاء العالم بحصان طروادة خبيث يعمل على سرقة البيانات وقد انتشر بواسطة خطط احتيالية تعتمد على إنجازات الهندسة الاجتماعية وقد تم انتقاء الأهداف بعناية فائقة.
اليوم نشر خبراء كاسبرسكي لاب تحليلا تقنيا مفصلا للبرنامج الخبيث الذي استخدم من قبل مهاجمي مادي. ويشتمل التحليل على نماذج وتوضيحات فنية لكل وظيفة في حصان طروادة هذا والتفاصيل حول الكيفية التي تم من خلالها تحميله على الآلة المصابة، تسجيله للنقرات على لوحة المفاتيح، تواصله مع خوادم C&C، سرقته وترشيحه للبيانات، مراقبته للمراسلات، تسجيله للمقاطع الصوتية والتقاطه لصور الشاشة.
خلاصة نتائج التحليل:
-
إجمالا، فمكونات حملة مادي غير دقيقة على الرغم من حصدها أكثر من 800 ضحية.
-
إن حصان طروادة الخاص بحملة مادي كان بدائيا من حيث تطوره وارتكز على أسلوب المهاجمين في التشفير والبرمجة والاستخدام غير الصحيح لـDelphi.
-
غالبية النشاطات والاتصالات للبرنامج الخبيث مع خوادم C&C كانت عبر ملفات خارجية والتي تعد طريقة غير منظمة وأولية في التشفير في Delphi.
-
على الرغم من التشفير البدائي للبرنامج الخبيث فإن ضحاياه المعروفين قد أصيبوا بحصان طروادة بواسطة الخطط الاحتيالية المرتكزة إلى الهندسة الاجتماعية والتي نشرها منظمو حملة مادي
-
أظهرت حملة مادي أنه على الرغم من الجودة المتدنية للبرنامج الخبيث بإمكانه سرقة البيانات ونشر العدوى بنجاح لذلك على المستخدمين توخي الحيطة والحذر حيال الرسائل الالكترونية المريبة.
-
لم تستخدم في الحملة أيا من التقنيات المستغلة للثغرات وتقنيات يوم الصفر وهذا ما يجعل نجاح الحملة أمرا مثيرا للاستغراب.
-
لم يحظى مشروع مادي باستثمار كبير فيما يتعلق بالجهود العملياتية والتطويرية غير أن العائد كان عاليا بحسب عدد الضحايا وكمية المعلومات المسروقة.
-
على الرغم من أن البرنامج الخبيث اشتمل على بعض من المواصفات غير المعتادة في داخله، لا توجد أدلة قاطعة تشير إلى صانعيه.
