211service.com
Cyberspion förföljer Iran
Under de senaste två åren har regeringar i Mellanöstern varit föremål för sofistikerad spionprogramvara, uppenbarligen skapad av forskare i världsklass som okända nationalstater betalar för att rikta in sig på känslig data och infrastruktur. Ändå är den senaste skadliga programvaran som framgångsrikt spionerar på banker, statliga myndigheter och företag i Iran och närliggande länder nästan skrattretande amatörer. Experter tror att programvaran, kallad Mahdi, kan ha skapats av aktivister. Denna möjlighet tyder på att USA och andra regeringar som oroar sig över deras sårbarhet för cyberkrig (se NSA-chefen vill ha mer kontroll över nätet) kan behöva oroa sig för mer än bara andra nationer.
En av mina första reaktioner var 'skämtar du?' säger forskaren Roel Schouwenberg på datasäkerhetsföretaget Kaspersky , med hänvisning till den olämpligt skapade skadliga programvaran. Mahdi, som namngavs av forskare som upptäckte programmet på det israeliska säkerhetsföretaget Seculert , är uppsvälld, buggig och skriven med tekniker som tyder på att dess skapare är betydligt mindre begåvade än de bakom Stuxnet, Flame eller Gauss, säger Schouwenberg. Dessa former av skadlig programvara, riktad mot Mellanöstern, häpnade forskare med sin sofistikering (se A Way to Attack Nuclear Plants and The Antivirus Era Is Over ).
Ändå har Mahdi fortfarande varit effektiv. När den väl har infiltrerat en dator, skickar den i hemlighet tillbaka data till sina operatörer – dokument, loggar över tangenttryckningar, ljudinspelningar och skärmdumpar av aktiviteter som att en användare kommer åt e-post. Man har lyckats infiltrera företag inom finanssektorn och kritisk infrastruktur, säger Schouwenberg. Andra mål inkluderar statliga departement och ingenjörsforskare och studenter.
Även om uppenbarligen nationsstödda verktyg som Stuxnet, Flame och Gauss attackerade liknande mål, höjer Mahdis grova design möjligheten att ingen regering stod för räkningen för dess skapande, säger Aviv Raff, en av Seculerts grundare. Eftersom det är snabbt och smutsigt arbete, tror vi att det kan vara ett verk av 'hacktivister', inte en direkt nationalstatssponsrad grupp, säger han.
Att bevisa det skulle vara nästan omöjligt, men Mahdi visar åtminstone att man nuförtiden inte behöver James Bonds resurser eller skicklighet för att delta i spionage på hög nivå. Hacktivistgrupper som Anonymous och LulzSec grep rubriker förra året genom att attackera välkända webbplatser för att uppmärksamma orsaker som Wikileaks. Mahdis framgång tyder på att sådana grupper kunde göra mer än att bara iscensätta Internetmotsvarigheten till störande protester.
Mahdi sprider sig via en e-postbilaga, som öppnar en presentation som ber användaren att klicka sig igenom en serie bilder och slutligen köra ett program inbäddat i en av dem. Däremot kan sofistikerad skadlig programvara som Flame eller Gauss infektera en maskin utan en användares direkta inblandning, genom att använda sårbarheter i programvara som tar månader för skickliga hackare att upptäcka. Flame involverade också komplex kryptografi som få människor i världen kunde ha skapat, säger Schouwenberg, och gjorde det otänkbara genom att kompromissa med Microsoft Windows uppdateringssystem. Flame var världens bästa människor, säger han. Mahdi jämför inte riktigt.
Och ändå fortsätter Mahdi att framgångsrikt infektera nya mål, medan Stuxnet, Flame och Gauss avaktiverades strax efter att säkerhetsforskare stängde in (se En cyberstridsspets med ett okänt mål). Seculert identifierade Mahdi först i februari och offentliggjordes tillsammans med Kaspersky den 17 juli, men skadlig programvara fungerar fortfarande och förbättras. De arbetar fortfarande aktivt med att infektera maskiner, säger Raff. De försökte också lägga till ytterligare funktioner samt att undvika upptäckt av antivirusleverantörer.
Schouwenberg säger att Mahdi har svällt från runt en megabyte till 10 megabyte. Men även en sådan klunk av ett program, säger han, kan vara effektivt när företag och statliga organisationer använder dåliga säkerhetsrutiner och misslyckas med att korrekt isolera sina mest värdefulla nätverk från de som används för mindre kritiska uppgifter.
Även med tanke på chansen att spåra skadlig programvara på jobbet är det osannolikt att Mahdis verkliga ursprung kommer att avslöjas. Den styrdes ursprungligen via en server i Iran men drivs nu med flera servrar i Kanada, säger Raff. De får troligen betalt för att de använder falska uppgifter eller har tagits över i syfte att attackera. Om åtgärder vidtogs mot dessa skulle Mahdis operatörer helt enkelt skapa mer eller smälta bort och komma tillbaka med ett nytt verktyg, säger Schouwenberg. Så det kommer att förbli ett mysterium om Mahdi är verktyget för hacktivister eller för en nationalstat som spelar dum.