Kaspersky Lab e Seculert hanno scovato un nuovo caso di cyber-spionaggio indirizzato contro i paesi del Medio Oriente, nella fattispecie identificando un trojan con funzionalità da backdoor che ha permesso agli ignoti cyber-criminali di rubare ogni sorta di informazioni riservate.
Sono più di 800 i sistemi vittima dell’attacco di “Madi”, il trojan che ha infettato PC presenti in Iran, Israele, Afghanistan e altrove nella regione. Le due società di sicurezza hanno preso il controllo dei server di comando&controllo della rete malevola tenendone monitorato l’operato, parlano di codice “amatoriale” ma comunque in grado di raggiungere lo scopo prefissato dai suoi creatori.
Diversamente dai malware identificati in precedenza (Flame, Stuxnet, Duqu), infatti, Madi è un codice troppo “povero” e dozzinale per essere riconducibile ai servizi segreti di nazioni progredite: laddove Flame e gli altri erano progettati per sfruttare ignote falle 0-day presenti negli OS Windows, Madi si limita a sfruttare l’ignoranza delle sue vittime e a spiare le comunicazioni veicolate attraverso i computer infetti.
Il malware è scritto in Delphi – segno inequivocabile della sua natura amatoriale, dicono i ricercatori di sicurezza – ed è in grado di monitorare e catturare informazioni e comunicazioni di passaggio su Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+, Facebook, sistemi di management finanziario e altro ancora.
Si tratta insomma di un’operazione di cyber-spionaggio a tutti gli effetti, con vittime che comprendono businessman impegnati su progetti infrastrutturali “critici” per Israele e Iran, istituzioni finanziarie israeliane, studenti di ingegneria, agenzie governative. Kaspersky stima che l’operazione sia attiva sin dal dicembre dell’anno scorso. Symantec conferma .
Alfonso Maruccia