http://www.nrg.co.il/online/1/ART2/...&cat=666&loc=50

"התפתחות נוספת במלחמה המקוונת במזרח התיכון: חברות אבטחת המידע מעבדות קספרסקי הרוסית וסקיורלט הישראלית הודיעו היום (ג') כי נחשפה תוכנה חדשה בשם מהדי, אשר נועדה לגנוב מסמכים ותמלילי שיחות במחשבים, בעיקר באיראן ובישראל. עדיין לא ברור מי עומד מאחורי החדירות.

התולעת, האחרונה בשורה של תוכנות שמהוות חלק מהלוחמה המקוונת במזרח התיכון בשנים האחרונות, זכתה לכינוי מהדי (המקביל המוסלמי למשיח) בשל שמות הקבצים שהתגלו בתוך התוכנה. תולעת המהדי התמקדה במשיכת קבצי PDF, וורד ואקסל מהמחשבים הפגועים.

אביב רף, סמנכ"ל הטכנולוגיות של סקיולרט, סיפר כי הסימן הראשון של התוכנה התגלה בפברואר האחרון כאשר זוהה אי-מייל עם קובץ וורד מצורף בשם "מהדי". כאשר פתחו אנשי המעבדה את המייל, הם גילו כתבה של אתר הדיילי ביסט מנובמבר 2011 אשר עסקה בשימוש שעושה לכאורה ישראל בכלי נשק אלקטרוניים ומקוונים נגד איראן.

כאשר גולשים לוחצים על המסמך, מופעלת תוכנת התולעת במחשב. היא פותחת דלת אחורית, אשר מאפשרת לשרת השליטה והפיקוד לקבל הנחיות ורכיבים נוספים, אשר יאפשרו מעקב אחרי מסמכים ותעבורת מיילים.

אנשי סקיולרט ניסו לאתר את מקור התולעת, שככל הנראה החלה לפעול בדצמבר 2011, ובחנו את התקשורת בין התוכנה לבין שרת הפיקוד והשליטה. בסיוע של מעבדות קספרסקי, הם מצאו כי ישנם חמישה שרתים – אחד בטהרן וארבעה באתרים שונים בקנדה, כאשר חלק מהרכיבים כללו מחרוזות בפרסית ותאריכים מלוח השנה הפרסי.

ניתוחי המידע זיהו כי יותר מ-800 מחשבים נדבקו בתוכנה הזדונית, כאשר הקורבנות היו חברות של תשתיות קריטיות, שרתים פיננסיים ושגרירויות. 387 מחשבים נדבקו באיראן ו-54 בישראל ומקרים נוספים נרשמו באפגניסטן ובאיחוד האמירויות.

בסקיולרט ציינו כי עדיין לא ברור אם מדובר בהתקפה שמאחוריה עומדת מדינה, אולם אופן התפשטותו של הווירוס מעיד על כך שהפעולה הצריכה השקעה גדולה ותמיכה כלכלית. בשל המילים הפרסיות והשם מהדי, גובר החשד כי מדובר בתוכנה מתוצרת איראן שנועדה לרגל אחרי מטרות בתוך המדינה, כמו גם נגד ישראל ומדינות שכנות, אולם גם לא נפסלת האפשרות שמדובר בתוכנה ישראלית שנועדה להפליל את טהרן. "

קישורים טיפה יותר אמינים ורציניים:
http://blog.seculert.com/2012/07/ma...war-savior.html
http://www.securelist.com/en/blog/2...Campaign_Part_I

אם זו מדינה, זו לא מדינה מוצלחת במיוחד בתחום. נשמע מתאים לאיראן עם הטנק הטוב בעולם והחללית הטובה בעולם.


אגב, אביב כתב בפרש בעבר.

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

כתבות נוספות:

• http://www.calcalist.co.il/internet...3577446,00.html
• http://www.jpost.com/International/....aspx?id=277803
• http://www.wired.com/threatlevel/2012/07/mahdi

גם YNET מצטרף לחגיגה: http://www.ynet.co.il/articles/0,7340,L-4256793,00.html

http://english.farsnews.com/newstext.php?nn=9104250482

כתבות נוספות באנגלית:

• http://www.guardian.co.uk/technolog...kers?CMP=twt_fd
• http://in.reuters.com/article/2012/...E86G0M320120717

ובעברית:

• http://news.walla.co.il/?w=/4/2550687
• http://reshet.tv/%D7%97%D7%93%D7%A9...cle,102159.aspx

הידיעה מה-17 בפברואר, מתי שה'מהדי' התגלה לראשונה, שלא מזכירה אותו בשמו, אבל מתארת פרטים טכניים מעטים שדומים למה שפורסם עכשיו: http://www.newsgeek.co.il/iran-attacks-bank-hapoalim/

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

תקציר:

• מתקשרת עם שרת קנדי חדש (הקודמים היו קנדים ואיראניים)
• שולחת את המידע שהיא אוספת מהמחשבים לשרת מיד, בלי לחכות לבקשה מהשרת
  [ניחוש שלי: מאחר והם התגלו, כל התקנה במירוץ נגד הזמן עד שאנטי-וירוס כלשהו ימחק אותה,
  ולכן מעדיפים לא לבזבז זמן בהמתנה להוראות מהשרת, אלא שולחים ישר]
• מנטר את:
  • VKontakte (רשת חברתית בסגנון פייסבוק שנפוצה ברוסיה, אוקראינה, בלארוס ומולדובה)
  • מסרים מיידיים וכו' בפרוטוקול Jabber‏ (XMPP)
  • כניסות לאתרים שמכילים "USA" ו-"GOV" (בנוסף לדברים שנוטרו בגרסות הקודמות)

הקטע האחרון גורם להם לטעון ש:

The additional checks for “USA” and “gov” might indicate a shift of focus from targets in Israel to the USA.

אני מציע להתייחס בזהירות להערכה הזאת.

רשימת מילות המפתח המלאה שמנטרים:

"gmail", "hotmail", "yahoo! mail" , "google+", "msn messenger", "blogger", "massenger", "profile", "icq" , "paltalk", "yahoo! messenger for the web","skype", "facebook" ,"imo", "meebo", "state" , "usa" , "u.s","contact" ,"chat" ,"gov", "aol","hush","live","oovoo","aim","msn","talk","steam","vkontakte","hyves", "myspace","jabber","share","outlook","lotus","career"

תחשבו לבד מה הרשימה הזאת אומרת...

מקור: https://www.securelist.com/en/blog/...ontrol_ Server

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.