Новый виток ближневосточной кибервойны, причем, возможно, в расширенном составе участников. Эксперты из лаборатории Касперского и их израильские коллеги из компании Seculert заявили об обнаружении очередного троянца под названием MADI. Он целенаправленно атаковал компьютеры пользователей, непосредственно осведомленных о разработке критически важных инфраструктурных объектов, а также работников финансовых организаций, инженеров, дипломатов – словом, всех, кто может знать что-то важное.
Больше всего зараженных машин — в Иране и Израиле. Собственно, в этом и заключается основная загадка вируса. В отличие от прежних сетевых атак, направленных в "одни ворота", вроде вирусов Stuxnet или Flame, которые были разработаны для борьбы с иранской ядерной программой, теперь страдают обе стороны конфликта. Впрочем, изучив вирус, эксперты пришли к выводу — скорее всего, сделан он все-таки в Иране.
"Это, во-первых, вызвано наличием различных строк на фарси, на персидском языке, в самом коде троянца, эти же строчки были использованы на серверах управления в различных скриптах, и так далее, — рассказал главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев. — По мнению наших израильских коллег из компании Seculert, те письма, которые рассылались израильским пользователям, были написаны на иврите, но с ошибками, ошибки, которые никогда б не совершил носитель языка".
Собственно, рассылка по почте — это и был способ распространения вредоносной программы, старый как мир, примитивный и, как оказалось, до сих пор эффективный. Инфицированных компьютеров оказалось около 800. Вирус рассылался под видом "писем счастья", презентаций Microsoft PowerPoint с красивыми картинками и надписями на иврите. Любопытно, что при открытии опасного файла программа предупреждала пользователя о том, что он, возможно, заражен. Впрочем, большинство жертв троянца это не испугало. Сам вирус оказался таким же примитивным, как и метод его доставки, похожим, как выражаются эксперты, на студенческую работу.
"MADI крайне примитивен. Он написан на языке Delphi, написан не очень качественно, для его распространения не использовались никакие уязвимости. То есть с технической точки зрения вирус абсолютно не дотягивает до StuxNet и Flame", — заметил Александр Гостев.
И тем не менее работу свою вирус сделал. Он запускал "щупальца "в личные данные пользователя на Gmail, Facebook, Skype, кроме того, вирус мог включать и выключать микрофон, записывая разговоры жертвы, фиксировать нажатия клавиш и многое другое. Сколько информации было таким образом украдено и, главное, где она теперь всплывет, остается загадкой.
"Кто был конечным получателем всей этой украденной информации, мы не знаем. То есть, с какой целью они это все делали – собирались ли кому-то перепродать, либо использовать в собственных целях, — мы сейчас не знаем", — вынужден констатировать главный антивирусный эксперт "Лаборатории Касперского".
