Madi: Experten enttarnen neuen Cyber-Angriff auf den Nahen Osten

Erste Flame, jetzt Madi: Sicherheitsfirmen haben eine neue Cyber-Attacke auf Länder im Nahen Osten enttarnt. Das entdeckte Schadprogramm enthielt persische Formulierungen.

Madi: So heißt ein Spionage-Programm, dass jetzt entdeckt wurde. Bild: Sascha Borowski/Computerbetrug.de

Madi attackierte offenbar gezielt Geschäftsleute, die im Iran und in Israel an kritischen Infrastruktur-Projekten arbeiteten. Auch israelische Finanzinstitutionen, Ingenieur-Studenten und Regierungsabteilungen aus dem Nahen Osten wurden angegriffen, berichtete die Sicherheitsfirma Kaspersky Lab, die gemeinsam mit dem Unternehmen Seculert die neue Cyber-Attacke untersuchte.

Den Angaben zufolge wurde der Trojaner Madi über verseuchte Powerpoint-Präsentationen verbreitet. Insgesamt seien so etwa 800 Menschen und Firmen im Iran, in Israel und einigen anderen Ländern Opfer der Attacke geworden. „Madi“ sei dabei durch einen „ungewöhnlich hohen Anteil an religiösen und politischen „Ablenkungs“-Dokumenten und -Bildern“ getarnt worden. „Auch wenn die Malware selbst und deren Infrastruktur im Vergleich zu ähnlichen Projekten sehr einfach erscheint, konnten die Madi-Angreifer damit eine nachhaltige Überwachung profilierter Opfer durchführen“, sagte Nicolas Brulez, Senior Malware Researcher bei Kaspersky Lab. „Vielleicht half der amateurhafte und rudimentäre Ansatz sogar, einer Entdeckung zu entgehen.“

Madi stahl Daten und las Mails mit

Der Madi-Trojaner kann laut Kaspersky „aus der Ferne sensible Dateien von infizierten Windows-Systemen stehlen, sensible Kommunikationskanäle wie E-Mail und Instant-Messaging einsehen, Audiodaten mitschneiden, Tastaturanschläge registrierten sowie Screenshots des Systems erstellen.“ Eine weitere Analyse habe ergeben, „dass mehrere Gigabyte an Daten von infizierten Rechnern hochgeladen wurden“. Die Angreifer konnten demnach weit verbreitete Anwendungen und Webseiten inklusive Konten auf Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ und Facebook ausspionieren. “ Zudem wurden integrierte ERP- und CRM-Systeme, Geschäftskontakte sowie Finanzmanagementsysteme überwacht.“

Urheber von Madi nicht bekannt

Wer den Trojaner Trojan.Win32.Madi programmierte und lenkte, ist noch nicht geklärt. „Unsere gemeinsame Analyse hat ergeben, dass sowohl Malware als auch die C&C-Tools mit zahlreichen persischen Strings übersät war, was bei
Schadcode an sich ungewöhnlich ist. Die Angreifer hatten zweifelsfrei entsprechende Sprachkenntnisse“, sagte Aviv Raff, Chief Technology Officer bei Seculert.

Madi ist nur der nächste einer Reihe von Computerschädlingen, die in den vergangenen Monaten und Jahren gezielt zur Spionage in Firmen und Regierungsbetrieben im Nahen Osten eingesetzt wurden.  Auch Duqu und Flame waren so eingesetzt worden.