Madi, el último intento del ciberespionaje por controlar Oriente Próximo

Madi: ese es el nombre de la última campaña de ciberespionaje activa que ha salpicado a Oriente Próximo y que se ha introducido en los ordenadores de empresas, instituciones financieras y varios civiles de la zona. Descubierto por Seculert  e investigado por esta compañía y por Kaspersky Lab, Madi había infectado ya a unas 800 víctimas a las que habían robado sus secretos más confidenciales.

“El malware y la infraestructura es muy básica en comparación con otros proyectos similares, pero Madi ha sido capaz de llevar a cabo una operación de vigilancia constante contra víctimas de alto perfil“, explica en un comunicado Nicolás Brulez, analista senior de Malware de Kaspersky Lab. “Tal vez el enfoque amateur y de aficionados ayudó a que fluyera la operación a pesar de la vigilancia y dificultar así su detección”.

Madi empleaba ingeniería social para expandirse, aunque no buscaba una infección masiva. Sus víctimas eran objetivos “cuidadosamente seleccionados”, que caían en la trampa y abrían la puerta al troyano. Una vez dentro del equipo de sus incautos destinatarios, el troyano permitía a los ciberespías robar información confidencial de esos ordenadores, sustrayendo archivos, controlando servicios como el mail o los servicios de mensajería instantánea, grabando audio o las pulsaciones de teclado, realizando pantallazos o capturando las diferentes actividades de las víctimas.

Las dos compañías de seguridad han realizado una operación de sinkholing (tomar el control y destruir la información interna de las bots para que la información no llegue a su destino), lo que les ha permitido descubrir a quiénes targeteaba la trama y qué tipo de información buscaba. Las víctimas han sido empresas que trabajaban en infraestructuras críticas en Irán e Israel, instituciones financieras de Israel y estudiantes de ingeniería y varias agencias gubernamentales de países de Oriente Próximo. En total, habían intentando hacerse con varios gigabytes de datos de estas víctimas.

Los países de Oriente Próximo son protagonistas habituales en las noticias relativas a redes de ciberespionaje. Stuxnet fue el primer gran nombre en la serie de amenazas cibernéticas para los países de la zona. El gusano fue empleado para atacar instalaciones nucleares en Irán, permitiendo a los responsables del ataque llegar a tomar el control. Flame fue una de las últimas incorporaciones y había infectado sistemas de IránLíbano, Siria y otros países de Oriente Próximo y el Norte de África. En este caso, el malware permitía espiar las acciones que sus víctimas realizaban en los dispositivos infectados.

Contenidos Relacionados

Top