Klungelende cyberspion achtervolgt Iran

In de afgelopen twee jaar zijn regeringen in het Midden-Oosten het doelwit geweest van geavanceerde spionagesoftware, blijkbaar gemaakt door onderzoekers van wereldklasse die onbekende natiestaten betalen om gevoelige gegevens en infrastructuur aan te vallen. Maar het nieuwste stukje malware dat met succes banken, overheidsdiensten en bedrijven in Iran en nabijgelegen landen bespioneert, is bijna lachwekkend amateuristisch. Experts geloven dat de software, Mahdi genaamd, mogelijk is gemaakt door activisten. Deze mogelijkheid suggereert dat de Verenigde Staten en andere regeringen die zich zorgen maken over hun kwetsbaarheid voor cyberoorlog (zie NSA-baas wil meer controle over het net) zich misschien zorgen moeten maken over meer dan alleen andere landen.





Een van mijn eerste reacties was ‘Maak je een grapje?’, zegt onderzoeker Roel Schouwenberg van het computerbeveiligingsbedrijf Kaspersky , verwijzend naar de onhandig gemaakte malware. Mahdi, genoemd door onderzoekers die het programma ontdekten bij het Israëlische beveiligingsbedrijf Seculert , is opgeblazen, buggy en geschreven met technieken die suggereren dat de makers aanzienlijk minder getalenteerd zijn dan die achter Stuxnet, Flame of Gauss, zegt Schouwenberg. Die vormen van malware, gericht op het Midden-Oosten, verbaasden onderzoekers met hun verfijning (zie A Way to Attack Nuclear Plants en The Antivirus Era Is Over).

Toch is Mahdi nog steeds effectief geweest. Zodra het een computer heeft geïnfiltreerd, stuurt het in het geheim gegevens terug naar zijn operators: documenten, logboeken van toetsaanslagen, audio-opnamen en schermafbeeldingen van activiteiten zoals een gebruiker die toegang heeft tot e-mail. Het is erin geslaagd om te infiltreren bij bedrijven in de financiële sector en vitale infrastructuur, zegt Schouwenberg. Andere doelwitten zijn onder meer overheidsdiensten en technische onderzoekers en studenten.

Hoewel schijnbaar door het land gesteunde tools zoals Stuxnet, Flame en Gauss soortgelijke doelen aanvielen, wekt het ruwe ontwerp van Mahdi het vooruitzicht dat geen enkele regering de rekening voor de oprichting ervan heeft betaald, zegt Aviv Raff, een medeoprichter van Seculert. Omdat het snel en vies werk is, denken we dat het het werk kan zijn van 'hacktivisten', en niet van een directe door de natiestaat gesponsorde groep, zegt hij.



Dat bewijzen zou bijna onmogelijk zijn, maar Mahdi laat op zijn minst zien dat je tegenwoordig niet de middelen of vaardigheden van James Bond nodig hebt om deel te nemen aan spionage op hoog niveau. Hacktivistische groepen zoals Anonymous en LulzSec haalden vorig jaar de krantenkoppen door bekende websites aan te vallen om de aandacht te vestigen op zaken als Wikileaks. Het succes van Mahdi suggereert dat dergelijke groepen meer zouden kunnen doen dan alleen het internet-equivalent van ontwrichtende protesten opvoeren.

Mahdi verspreidt zich via een e-mailbijlage, die een presentatie opent waarin de gebruiker wordt gevraagd door een reeks dia's te klikken en uiteindelijk een programma uit te voeren dat in een ervan is ingebed. Daarentegen kan geavanceerde malware zoals Flame of Gauss een machine infecteren zonder directe tussenkomst van een gebruiker, door gebruik te maken van softwarekwetsbaarheden die ervaren hackers maandenlang nodig hebben om te ontdekken. Flame omvatte ook complexe cryptografie die maar weinig mensen ter wereld hadden kunnen maken, zegt Schouwenberg, en deed het ondenkbare door het updatesysteem van Microsoft Windows in gevaar te brengen. Flame was de beste mensen ter wereld, zegt hij. Mahdi is niet echt te vergelijken.

En toch blijft Mahdi met succes nieuwe doelen infecteren, terwijl Stuxnet, Flame en Gauss werden gedeactiveerd kort nadat beveiligingsonderzoekers binnenkwamen (zie Een cyber-kernkop met een onbekend doelwit). Seculert identificeerde Mahdi voor het eerst in februari en ging op 17 juli samen met Kaspersky naar de beurs, maar de malware werkt nog steeds en wordt verbeterd. Ze zijn nog steeds actief bezig met het infecteren van machines, zegt Raff. Ze probeerden ook extra functies toe te voegen en detectie door antivirusleveranciers te omzeilen.



Schouwenberg zegt dat Mahdi is gestegen van ongeveer één megabyte naar 10 megabyte. Maar zelfs zo'n onhandig programma, zegt hij, kan effectief zijn wanneer bedrijven en overheidsorganisaties slechte beveiligingspraktijken gebruiken en er niet in slagen hun meest waardevolle netwerken goed te isoleren van de netwerken die worden gebruikt voor minder kritieke taken.

Zelfs als we de kans krijgen om de malware op het werk te volgen, is het onwaarschijnlijk dat de ware oorsprong van Mahdi wordt ontdekt. Het werd oorspronkelijk beheerd via een server in Iran, maar wordt nu beheerd met behulp van verschillende servers in Canada, zegt Raff. Die worden waarschijnlijk betaald voor het gebruik van valse referenties of zijn overgenomen met het oog op de aanval. Als daartegen zou worden opgetreden, zouden de operators van Mahdi gewoon meer creëren of wegsmelten en terugkomen met een nieuwe tool, zegt Schouwenberg. Het zal dus een raadsel blijven of Mahdi het instrument is van hacktivisten of van een natiestaat die stom speelt.

zich verstoppen