Mahdi (Madi)
Technisch simple Spionage-Malware belauschte 2012 rund 800 Ziele im Nahen Osten – eingeschleust über Köder-Mails.
Naher Osten, 2012: Behörden, Infrastruktur-Firmen und Finanzhäuser erhalten täuschend aufgemachte E-Mails mit Dokumenten und Präsentationen im Anhang.
In 30 Sekunden
Im Juli 2012 machten die Sicherheitsfirmen Seculert und Kaspersky eine Spionage-Kampagne im Nahen Osten öffentlich: «Mahdi» (auch «Madi» geschrieben). Rund 800 Opfer wurden über Monate belauscht – darunter Behörden, Firmen aus kritischen Infrastrukturen und Finanzhäuser, vor allem in Iran und Israel. Verbreitet wurde die Malware per Spear-Phishing: gezielte E-Mails mit religiös und politisch aufgemachten Köder-Dokumenten und Präsentationen. Technisch war Mahdi simpel gestrickt – und trotzdem erstaunlich wirksam. Genau das macht den Fall lehrreich.
Was geschah
2012
Ziel war das Ausspähen von Behörden, Firmen aus kritischen Infrastrukturen und Finanzinstituten im Nahen Osten, insbesondere in Iran und Israel. Gestohlen wurden Dokumente, Tastatureingaben, Bildschirmfotos und Audio-Mitschnitte.
Der Angriffsweg
- Ausgewählte Personen erhalten gezielte E-Mails (Spear-Phishing) mit religiös oder politisch aufgemachten Köder-Dokumenten und PowerPoint-Präsentationen.
- Beim Öffnen wird das Opfer mit Bildern und Effekten abgelenkt und dazu verleitet, eine eingebettete ausführbare Datei zu starten – die Spionage-Software installiert sich unbemerkt.
- Die Malware richtet sich dauerhaft auf dem Rechner ein und verbindet sich mit den Kontrollservern der Angreifer.
- Sie zeichnet Tastatureingaben auf (Keylogging), macht Bildschirmfotos – teils gezielt bei E-Mail- und Chat-Nutzung – und schneidet Audio über das Mikrofon mit.
- Gestohlene Dateien und Mitschnitte fliessen über Monate an die Server der Angreifer ab.
- Im Juli 2012 decken Seculert und Kaspersky die Kampagne gemeinsam auf; sie zählen rund 800 Opfer.
Auswirkung
Rund 800 Rechner in mehreren Ländern wurden über Monate ausgespäht, mehrere Gigabyte an Dokumenten und Mitschnitten flossen laut den Analysen an die Angreifer ab. Betroffen waren auch Organisationen aus kritischen Infrastrukturen und dem Finanzwesen. Ein direkter physischer Schaden entstand nicht – der Schaden lag im Verlust vertraulicher Informationen.
So schützt du dich
Fakten
- 2012 (aufgedeckt im Juli)
- Naher Osten (v. a. Iran und Israel)
- rund 800 Rechner
- Behörden, kritische Infrastruktur, Finanz
- Spear-Phishing mit Köder-Dokumenten
- Keylogger, Screenshots, Audio, Datenklau
- einfach gehalten (Delphi), keine Exploits nötig
- Seculert und Kaspersky
Im Detail
Die Aufdeckung im Juli 2012
Die israelische Sicherheitsfirma Seculert stiess auf verdächtige Köder-Mails und analysierte die Kampagne anschliessend gemeinsam mit Kaspersky. Durch das Umleiten der Kontrollserver-Kommunikation (Sinkholing) konnten die Forscher rund 800 Opfer in mehreren Ländern des Nahen Ostens zählen – die Kampagne lief zu diesem Zeitpunkt bereits seit Monaten.
Der Köder: Glaube und Politik
Die Angreifer setzten auf Inhalte mit starker emotionaler Wirkung: religiös aufgeladene Texte und politisch brisante Bilder, verpackt in Dokumente und PowerPoint-Präsentationen. Der Name «Mahdi» geht auf Dateinamen mit Bezug zur messianischen Figur des Mahdi zurück. Wer neugierig klickte, startete – gut kaschiert – die eigentliche Schadsoftware.
Was die Malware konnte
Einmal installiert, arbeitete Mahdi als klassischer Spion: Tastatureingaben aufzeichnen (Keylogging), Bildschirmfotos anfertigen – teils gezielt ausgelöst, wenn E-Mail-Dienste oder Chats geöffnet waren –, Audio über das Mikrofon mitschneiden und Dateien an die Kontrollserver hochladen. Für die Betroffenen bedeutete das: Alles, was am Rechner geschah, konnte mitgelesen und mitgehört werden.
Technisch simpel – trotzdem erfolgreich
Die Analysten staunten über die schlichte Machart: in der eher altmodischen Programmiersprache Delphi geschrieben, ohne ausgeklügelte Tarntechniken und ohne Ausnutzung von Sicherheitslücken. Mahdi brauchte keine teuren Werkzeuge – es genügte, dass Menschen die Anhänge öffneten. Die Kampagne zeigt damit das Gegenstück zu Hightech-Angriffen wie Stuxnet oder Flame: Aufwand ist kein Mass für Wirkung.
Wer steckte dahinter?
Eine offizielle Zuordnung gibt es nicht. Die Forscher fanden persische Sprach-Spuren im Code und in der Infrastruktur; über die Urheber wurde viel spekuliert, belastbar belegt ist wenig. Für die Verteidigung ist die Täterfrage ohnehin zweitrangig – die Einfallstore sind dieselben.
Die Lehre
Mahdi beweist, dass auch simple Malware plus gutes Social Engineering genügt, um Behörden und Infrastruktur-Firmen monatelang auszuspähen. Der wirksamste Schutz beginnt nicht bei teurer Technik, sondern bei Mail-Hygiene, geschulten Mitarbeitenden und der Überwachung des ausgehenden Datenverkehrs.
