Bungling kiberspiegu vajā Irānu

Pēdējo divu gadu laikā Tuvo Austrumu valdības ir skārušas sarežģītas spiegošanas programmatūras, ko acīmredzot radījuši pasaules līmeņa pētnieki, kuriem nezināmas nacionālās valstis maksā, lai mērķētu uz sensitīviem datiem un infrastruktūru. Tomēr jaunākā ļaunprogrammatūra, kas veiksmīgi izspiego bankas, valdības departamentus un uzņēmumus Irānā un tuvējās valstīs, ir gandrīz smieklīga. Eksperti uzskata, ka programmatūru ar nosaukumu Mahdi, iespējams, radījuši aktīvisti. Šī iespēja liek domāt, ka Amerikas Savienotajām Valstīm un citām valdībām, kuras satraucas par savu neaizsargātību pret kiberkaru (skatiet sadaļu NSA boss vēlas lielāku kontroli pār tīklu), var būt jāuztraucas ne tikai par citām valstīm.





Viena no manām sākotnējām reakcijām bija 'Vai jūs jokojat?' saka pētnieks Roels Šovenbergs no datoru drošības uzņēmuma. Kaspersky , atsaucoties uz nepareizi izveidoto ļaunprogrammatūru. Mahdi, kuru nosaukuši pētnieki, kuri atklāja programmu Izraēlas drošības uzņēmumā Seculert , ir uzpūsts, buggy un rakstīts, izmantojot metodes, kas liecina, ka tā veidotāji ir ievērojami mazāk talantīgi nekā tie, kas ir aiz Stuxnet, Flame vai Gauss, saka Šovenbergs. Šīs ļaunprātīgās programmatūras formas, kuru mērķauditorija ir Tuvie Austrumi, pārsteidza pētniekus ar savu izsmalcinātību (skatiet sadaļu Veids, kā uzbrukt kodolstacijām un Antivīrusu ēra ir beigusies).

Tomēr Mahdi joprojām ir bijis efektīvs. Kad tas ir iefiltrējies datorā, tas slepeni nosūta atpakaļ saviem operatoriem datus — dokumentus, taustiņu nospiešanas žurnālus, audio ierakstus un ekrānuzņēmumus par darbībām, piemēram, lietotāja piekļūšanu e-pastam. Tai ir izdevies iefiltrēties uzņēmumos finanšu sektorā un kritiskajā infrastruktūrā, saka Šovenbergs. Citi mērķi ir valdības departamenti un inženierzinātņu pētnieki un studenti.

Lai gan šķietami valstu atbalstīti rīki, piemēram, Stuxnet, Flame un Gauss, uzbruka līdzīgiem mērķiem, Mahdi neapstrādātais dizains rada izredzes, ka neviena valdība nav sedzējusi rēķinu par tā izveidi, saka Avivs Rafs, Seculert līdzdibinātājs. Tā kā tas ir ātrs un netīrs darbs, mēs uzskatām, ka tas varētu būt 'hacktivistu' darbs, nevis tieši nacionālās valsts sponsorēta grupa, viņš saka.



To pierādīt būtu gandrīz neiespējami, taču Mahdi vismaz parāda, ka mūsdienās, lai piedalītos augsta līmeņa spiegošanā, nav vajadzīgi Džeimsa Bonda resursi vai prasmes. Hacktivist grupas, piemēram, Anonymous un LulzSec, pagājušajā gadā satvēra virsrakstus, uzbrūkot labi zināmām vietnēm, lai pievērstu uzmanību tādiem iemesliem kā Wikileaks. Mahdi panākumi liecina, ka šādas grupas varētu darīt vairāk, nekā tikai organizēt interneta ekvivalentu graujošiem protestiem.

Mahdi izplatās, izmantojot e-pasta pielikumu, kas atver prezentāciju, kurā lietotājam tiek lūgts noklikšķināt cauri virknei slaidu un visbeidzot palaist vienā no tiem iegultu programmu. Turpretim sarežģītas ļaunprātīgas programmatūras, piemēram, Flame vai Gauss, var inficēt iekārtu bez lietotāja tiešas līdzdalības, izmantojot programmatūras ievainojamības, kuru atklāšana prasmīgiem hakeriem prasa vairākus mēnešus. Liesma ietvēra arī sarežģītu kriptogrāfiju, ko daži cilvēki pasaulē būtu varējuši izveidot, saka Šovenbergs, un paveica neiedomājamo, kompromitējot Microsoft Windows atjaunināšanas sistēmu. Viņš saka, ka Flame bija labākie cilvēki pasaulē. Mahdi īsti nesalīdzina.

Un tomēr Mahdi turpina veiksmīgi inficēt jaunus mērķus, turpretim Stuxnet, Flame un Gauss tika deaktivizēti drīz pēc drošības pētnieku slēgšanas (skatiet Kiber 'Warhead' With an Unknown Target ). Seculert pirmo reizi identificēja Mahdi februārī un kļuva publiski kopā ar Kaspersky 17. jūlijā, taču ļaunprogrammatūra joprojām darbojas un tiek uzlabota. Viņi joprojām aktīvi strādā pie inficēšanas mašīnām, saka Rafs. Viņi arī mēģināja pievienot papildu funkcijas, kā arī izvairīties no antivīrusu pārdevēju atklāšanas.



Šovenbergs saka, ka Mahdi ir palielinājies no aptuveni viena megabaita līdz 10 megabaitiem. Bet pat šāda programmas satricināšana, viņš saka, var būt efektīva, ja uzņēmumi un valdības organizācijas izmanto sliktu drošības praksi un nespēj pareizi izolēt savus vērtīgākos tīklus no tiem, kas tiek izmantoti mazāk kritiskiem uzdevumiem.

Pat ja ir iespēja izsekot ļaunprātīgai programmatūrai darbā, maz ticams, ka Mahdi patiesā izcelsme tiks atklāta. Sākotnēji tas tika kontrolēts, izmantojot serveri Irānā, bet tagad tas tiek darbināts, izmantojot vairākus serverus Kanādā, saka Rafs. Tie, iespējams, tiek maksāti par viltotu akreditācijas datu izmantošanu vai ir pārņemti uzbrukuma nolūkos. Ja pret tiem tiktu veikti pasākumi, Mahdi operatori vienkārši radītu vairāk vai izkūst un atgrieztos ar jaunu rīku, saka Šovenbergs. Tāpēc paliks noslēpums, vai Mahdi ir hacktivistu vai nācijas valsts, kas spēlē mēms, instruments.

paslēpties