Cyberwar tampaknya akan selalu ada, dan berbagai teknik pun terus dikembangkan, salah satu senjata untuk serangan cyber iniadalah spywaree Mahdi.
Beberapa ahli keamanan telah mengidentifikasi Serangan spy-cyber yang terlihat ditargetkan pada beberapa komputer di Iran yang mereka katakan berbeda dari malware yang ditemukan sebelumnya diyakini sebagai bagian dari rahasia AS dan upaya Israel untuk memantau dan menunda program pengembangan nuklir Teheran.
Sebelumnya Seculert Research Lab telah mengidentifikasi email mencurigakan, termasuk lampiran teks dokumen palsu. Saat file dibuka berisi mahdi.txt dan membuka dokumen kata , dan isi dart dokumen itu artikel membahas cyberwar antara Israel vs Iran.
Untuk merentukan darimana serangan ini berasal, Sectlert Research Lab memeriksa komunikasi malware dengan Command server. Yang menarik, kami rrienemukan bahwa komunikasi beberapa malware berada dalam bahasa Persia serta tanggal dalam format kalender Persia.
Varian yang diperiksa dikomunikasikan dengan server yang berlokasi di Kanada. Jadi Seculert mampu melacak varian dari malware yang sama kembali ke Desember 2011. Waktu itu, malware berkomunikasi dengan nama domain yang sama, tetapi server terletak di Teheran
Pada bulan Mei 2012 Spyware Mahdi ini menyamarkan komunikasi antara malware dan server CSC dengan memberikan update dan modul, seperti informasi rnencuri, rekaman audio dan keylogging, melalui halaman Google. Kode modul sebenarnya base64 dikodekan dan tersemburyi dalam HTML dari Google seperti halaman web mengumumkan bahwa mereka telah menemukan sebuah program, sangat canggih berbahaya yang secara aktif digunakan sebagai senjata cyber untuk menargetkan entitas di beberapa negara. Malware yang dinamakan Flame ini dirancang untuk melakukan spionase cyber dan diyakini melebihi kompleksitas dan fungsionalttas dari serangan yang dikenal lainnya.
Seculert pun bekerjasama dengan Kaspersky Lab untuk menyelidiki kemungkinan adanya kesamaan antara Flame dan Mahdi. Seculert dapat mengidentifikasi lebih dan korban, berkomunikasi dengan empat server & C yang berbeda selama delapan bulan.
Meskipun Seculert tidak bisa menemukan hubungan langsung antara kampanye, korban yang ditargetkan Mahdi tersebut adalah perusahaan infrastruktur, jasa keuangan dan kedutaan besar pemerintah, yang semuanya terletak di Iran, Israel dan beberapa negara Timur Tengah lainnya,
Hal ini masih belum jelas apakah ini adalah serangan yang disponsori negara atau tidak. Organisasi ditargetkan tampaknya menyebar antara anggota kelompok menyerang dengan memberikan setiap mesin korban nama awalan tertentu. yang berarti bahwa operasi ini mungkin memerlukan investasi yang besar dan dukungan finansial.
0 comments