Especialistas em segurança descobriram uma campanha de ciberespionagem tendo como alvos o Irão e outros países do Médio Oriente. A nova ofensiva destaca-se porque é a primeira operação já descoberta que usa ferramentas de comunicação escritas em persa.

 A companhia de segurança israelita Seculert e a russa Kaspersky Lab disseram hoje que identificaram mais de 800 vítimas da operação. Os alvos incluem companhias que fornecem infraestrutura crítica, estudantes de engenharia, empresas de serviços financeiros e embaixadas localizadas em cinco países do Médio Oriente. A maioria das infecções foi descoberta no Irão.

A Seculert e a Kaspersky não quiseram identificar os alvos da campanha, que acreditam ter começado há pelo menos oito meses. As empresas afirmam que não sabem quem está por trás dos ataques ou se algum país está envolvido.

«Com certeza é alguém que é fluente em persa, mas não sabemos a sua origem», disse o vice-presidente de tecnologia da Seculert, Aviv Raff.

O trojan Mahdi permite que seus utilizadores roubem arquivos de computadores infectados e monitorizem emails e mensagens instantâneas, disseram a Seculert e a Kaspersky. O software também permite a gravação de áudio, registo de teclas digitadas e retirada de imagens de atividades nos computadores infectados.

As empresas afirmaram que acreditam que múltiplos gigabytes de dados foram enviados a partir das máquinas comprometidas pelo programa.

«Alguém está a tentar montar um dossiê em larga escala de alguma coisa», disse Raff. «Não sabemos o que vão fazer com isso», acrescentou.

Pesquisadores afirmaram anteriormente que quase de certeza que estavam países por trás do vírus Flame, que foi descoberto no início deste ano, e do Duqu, descoberto em 2011.

A Seculert e a Kaspersky apelidaram a nova campanha de Mahdi, um termo que se refere à profetizada redenção do Islão, porque as evidências sugerem que os autores usaram uma pasta com esse nome quando desenvolveram o software. Eles também incluíram um arquivo de texto chamado mahdi.txt no programa maligno.