Le nouveau malware Mahdi s’attaque au Moyen-Orient

Des chercheurs en sécurité informatique des firmes Seculert et Kaspersky ont révélé qu’un logiciel malveillant nommé Mahdi a été utilisé pendant près de huit mois pour espionner des centaines de cibles basées en Iran, en Israël et dans quelques autres pays du Moyen Orient.

Le cheval de Troie serait entre autre capable de procéder à des enregistrements audio ou des frappes claviers, mais aussi de faire des captures d’écran à intervalles réguliers, d’espionner les communications via mails ou messagerie instantanée ou encore d’accéder et de voler un certains nombres de documents, d’images, d’archives ou de fichiers sensibles.

Seculert a découvert le malware il y a déjà plusieurs mois alors que la compagnie enquêtait sur un email suspect contenant un faux document en pièce jointe, ont annoncé mardi les chercheurs de la société israélienne dans un billet de blog.
Seculert et Kaspersky ont en outre fait part de leurs conclusions sur la possibilité que le malware Mahdi présente des similitudes avec Flame, un malware ultra-sophistiqué de cyberespionage qui avait lui aussi ciblé l’Iran et le Moyen Orient.

Les deux sociétés ont travaillé ensemble pour rediriger le trafic du malware à un serveur sous leur contrôle – une opération appelée sinkholing – afin d’analyser celui-ci. L’opération leur a permis d’identifier près de 900 victimes, principalement des hommes d’affaire travaillant sur de sensibles projets iraniens ou israéliens, mais aussi des étudiants, dont 387 en Iran, 57 en Israël mais aussi une quinzaine en Afghanistan. Les autres victimes appartenant à d’autres du Moyen Orient.

Le malware utiliserait des procédés basiques

« Les grandes quantités de données collectées révèlent l’intérêt particulier porté sur les infrastructures sensibles du Moyen Orient. Des firmes d’ingénierie, des agences gouvernementales, des établissements financiers et même des universités » ont déclaré les chercheurs de Kaspersky. « Les individus victimes du virus ont été sélectionnés pour être surveillés de façon accrues sur de longues périodes » ont ils poursuivi.
Le malware serait distribué via mail malveillants en utilisant des techniques de base d’ingénierie sociale pour tromper les destinataires et les pousser à ouvrir des fichiers PowerPoint infectés.

Le programme d’installation du logiciel malveillant, intégré dans les fichier, serait en effet exécuté lorsque les utilisateurs acceptent d’ouvrir les fichiers PowerPoint et ce malgré un avertissement associés aux fichiers contenus dans ces documents PowerPoint.
A l’installation, une quantité inhabituelle de documents ou d’images de « diversion » à caractères religieux ou politique serait par ailleurs distribuée sur la machine infectée.

« Le fait que ces agresseurs aient réussi à infecter des centaines de cibles en dépit de la simplicité des techniques utilisées est un peu déroutant », a déclaré Costin Raiu, directeur de recherche mondiale de Kaspersky. Chaque antivirus sérieux devrait être capable d’attraper et de bloquer ce virus, a t-il dit.

Un virus écrit à la hâte

« Il n’est pas clair qu’il s’agisse d’une attaque soutenue par un Etat », a déclaré le chef du département technologie de Seculert, Aviv Raff. Le malware Mahdi ne présente pas une menaces des plus complexes et semblerait même plutôt avoir été écrit à la hâte », a t il poursuivi. Toutefois, « les entités ciblées sont réparties selon les désirs des pirates, ce qui pourrait suggérer un soutien financier ou des investissement considérables » note le spécialiste.

« Cette campagne a été mise en oeuvre avec une technologie limitée et même presque rudimentaire », a déclaré de son côté Costin Raiu.
« En ce qui concerne la complexité du malware, l’attaque de Mahdi serait de rang inférieur aux récentes attaques contres les militants tibétains et les militants ouïgours », a déclaré Costin Raiu. En effet, les logiciels alors exploités représentaient de véritables exploits en terme de technologie. « Pour Mahdi, tout n’est basé que sur l’ingénierie sociale ».

Un des serveurs de contrôle basé à Téhéran

Les samples de Mahdi analysés par Seculert et Kaspersky tentent de communiquer avec quatre serveurs de contrôle distincts. Trois d’entre eux sont situés au Canada et un à Téhéran, en Iran.
Bien qu’il n’y ait pas encore de preuve définitive de l’origine du malware, d’autres indices trouvés dans le code du logiciel indiquent que ceux qui l’ont conçu sont à l’aise en Persan et utilisent des dates au format du calendrier Persan.

Le nom du malware, lui, fait référence, selon les croyances islamiques, à l’une des figures messianique présentée comme le « sauveur », qui devrait régner sur le monde dans les jours précédent le jugement dernier afin d’établir un monde de justice et d’équité.