Mahdi – Eine neue Waffe im Cyber-War?

Mahdi steht im Islam für den Erlöser, der kurz vor dem jüngsten Tag die Erde von allem Übel befreit. Mahdi ist aber auch ein neuer Schädling, der – wie Stuxnet und Flame – vor allem im Nahen Osten und Iran verbreitet ist. Noch ist aber nicht ganz klar wer oder was hinter diesem Schädling steht, so Experten bei Seculert und Kaspersky.

Es ist auch die erste Malware, die auch Komponenten in Farsi und Persisch enthält. Seit rund acht Monaten sammle diese Malware bei Infrastrukturunternehmen, israelischen Finanzinstitutionen, Botschaften, Maschinenbaustudenten und weiteren Personen Informationen. Vor allem der Iran sei betroffen, wie das israelische Sicherheitsunternehmen Seculert mitteilt. Aber auch vier weitere Staaten im nahen Osten seien von der Attacke betroffen.

Mahdi liest laut Seculert Mails mit, schneidet Audio-Spuren mit und lauscht bei Textnachrichten, auch Dateien kopiert die Schadsoftware und sendet sie an einen C&C-Server (Control and Command). Der Schädling soll mehrere Gigabyte Daten gesammelt haben.

 

 

“Es ist noch nicht klar, ob ein Staat hinter dieser Attacke steht oder nicht”, heißt es im Seculert-Blog. Jeder angegriffene Rechner bekomme ein eigenes Präfix. Daraus schließen die Sicherheitsexperten, dass möglicherweise ein potenter Geldgeber hinter der Attacke steht. Unklar sei bislang auch, was mit diesen teilweise recht umfangreichen Dossiers, die über die Malware generiert wurden, geschehen soll. Schließlich habe der Anbieter einer Cloud-Sicherheitslösung keine direkten Zusammenhänge zwischen den einzelnen Opfern ausmachen können.

Über ein Sinkhole und die eigene Cloud-basierte Technologie, hätte Seculert zeigen können, dass etwa 800 betroffene Rechner mit insgesamt vier C&C-Server kommunizierten. Seculert versucht derzeit zusammen mit Kaspersky Labs herauszufinden, ob es zwischen Mahdi und dem im Mai entdeckten Flame-Schädling einen Zusammenhang gibt. Derzeit scheint es dafür jedoch keine Hinweise zu geben.

Auch Kasperky informiert in einem Blog über diesen Schädling. Mahdi verbreite sich über ein relativ einfach gestrickte Spearhead-Attake. Der Trojaner tarne sich demnach als eine Power-Point-Präsentation mit scheinbar religiösen Inhalten. Das sei zwar eine vergleichsweise primitive Methode, doch offenbar nach wie vor sehr effektiv, wie es von Kaspersky heißt. Über eine Funktion in PowerPoint werde schließlich ein Backdoor-Trojaner geladen. Der sei in Delphi geschrieben, was laut Kaspersky entweder auf eine schnelle Umsetzung des Projektes hinweist, oder auf niedrigen Kenntnisstand der Autoren.

Mit solchen Motiven wollen die Autoren von Mahdi die Nutzer dazu bewegen, eine PowerPoint-Datei zu öffnen. Derzeit gibt der in Delphi geschriebene Trojaner noch einige Rätsel auf. Quelle: Kaspersky Labs.