Desert Falcons – primul grup de spionaj cibernetic de nationalitate araba identificat – ataca mii de victime la nivel global


Desert_Falcons_APT_stolen_filesExpertii Global Research and Analysis Team (GReAT) din cadrul Kaspersky Lab au descoperit Desert Falcons, o grupare de spionaj cibernetic de origine araba care vizeaza organizatii importante si utilizatori individuali localizati in mai multe tari din Orientul Mijlociu. Echipa de cercetare Kaspersky Lab considera ca Desert Falcons este primul grup de mercenari cibernetici de nationalitate araba, care proiecteaza si executa operatiuni de spionaj cibernetic la scara larga.

  • Campania Desert Falcons este activa de cel putin doi ani. Gruparea a inceput sa opereze in 2011, iar activitatile principale de infectare a dispozitivelor au fost demarate in 2013. Cel mai important moment din actiunile grupului s-a inregistrat la inceputul anului 2015;
  • Cele mai multe tinte sunt localizate in Egipt, Palestina, Israel si Iordania;
  • Pe langa tarile din Orientul Mijlociu, grupul Desert Falcons vizeaza si tinte din alte zone. In total, membrii gruparii au atacat peste 3.000 de tinte din peste 50 de tari din lume, furand peste un milion de fisiere;
  • Atacatorii folosesc instrumente malware proprii pentru a ataca PC-urile Windows si dispozitivele cu Android;
  • Expertii Kaspersky Lab au numeroase dovezi care arata ca atacatorii sunt vorbitori nativi de limba araba.

Desert_Falcons_APT_GeographyLista tintelor vizate include organizatii militare si guvernamentale, in special functionarii specializati in contracararea activitatilor de spalare de bani, precum si cei care lucreaza in sanatate si economie; institutii media de top, institutii de cercetare si educatie, furnizori de energie si de utilitati, activisti si lideri politici, servicii de paza si protectie si alte tinte care detin informatii geopolitice importante. In total, expertii Kaspersky Lab au descoperit peste 3.000 de victime, din peste 50 de tari, si peste un milion de fisiere sustrase. Desi gruparea Desert Falcons a vizat in principal tari precum Egipt, Palestina, Israel si Iordania, mai multe tinte au fost localizate si in Qatar, Arabia Saudita, Emiratele Arabe Unite, Algeria, Liban, Norvegia, Turcia, Suedia, Franta, SUA, Rusia si alte tari.

Desert_Falcons_APT_timelineOperatiunile de infectare si de spionaj

Principala metoda utilizata de grupul Desert Falcons pentru a transmite fisiere periculoase este prin spear phishing, postari pe retele sociale si mesaje private. Mesajele de phishing includ fisiere periculoase (sau link-uri catre fisiere periculoase) prezentate drept documente sau aplicatii legitime. Grupul Desert Falcons utilizeaza mai multe tehnici pentru a convinge tintele sa acceseze fisierele periculoase, precum asa-numita “right-to left extension override”. Aceasta metoda utilizeaza un caracter special in format Unicode pentru a inversa ordinea caracterelor din numele fisierului, camufland extensia documentului periculos in centrul numelui si adaugand o alta extensie, care pare inofensiva, la final. Utilizand aceasta tehnica, fisierele periculoase (cu extensiile .exe, .scr) par inofensive si se confunda cu documente .pdf, astfel incat chiar si utilizatorii atenti pot fi inclinati sa le acceseze. De exemplu, o extensie a unui fisier de tipul .fdp.scr este inlocuita cu una de tipul .rcs.pdf.

Dupa infectarea cu succes a tintei, gruparea Desert Falcons utilizeaza doua fisiere diferite de tip backdoor: troianul Desert Falcons sau backdoor-ul DHS, care par sa fi fost dezvoltate integral de acestia, si care evolueaza constant. Expertii Kaspersky Lab au reusit sa identifice un numar total de peste 100 de mostre de malware utlizate in atacuri.

Instrumentele periculoase utilizate au functionalitate Backdoor si au capacitatea sa capteze imagini, sa inregistreze tastele apasate, sa incarce/descarce fisiere, sa colecteze informatii despre toate fisierele word si excel stocate pe hard disk sau pe dispozitivele USB conectate, sa fure parolele stocate (din Internet Explorer si din soft-ul de mesagerie live) si sa inregistreze fisiere audio. Expertii Kaspersky Lab au descoperit si urme ale unui malware – care pare a fi un fisier de tip backdoor pentru Android – si care sustragea lista de apeluri si SMS-urile.

Utilizand aceste instrumente, grupul Desert Falcons a lansat si a derulat cel putin trei campanii diferite, care vizau mai multe tinte din tari diferite.

Grupul Desert Falcons vizeaza informatii confidentiale

Expertii Kaspersky Lab estimeaza ca peste 30 de persoane, din trei echipe localizate in mai multe tari, sunt implicate in campaniile Desert Falcons.

„Atacatorii din spatele acestor activitati periculoase sunt foarte hotarati, activi si detin informatii tehnice, politice si culturale complexe”, a avertizat Dmitry Bestuzhev, Expert in Securitate in cadrul echipei Global Research and Analysis Team. „Prin spear phishing,  inginerie sociala si instrumente si fisiere backdoor dezvoltate intern, gruparea Desert Falcons a infectat sute de tinte importante din regiunea Orientului Mijlociu, prin intermediul computerelor sau a dispozitivelor mobile, reusind sa sustraga date importante. Ne asteptam la o evolutie a operatiunii prin dezvoltarea mai multor troieni si prin utilizarea unor tehnici si mai avansate. Cu fonduri suficiente, acestia pot obtine si dezvolta exploit-uri care sa maximizeze eficienta atacurilor”, a explicat Dmitry Bestuzhev.

Produsele Kaspersky Lab detecteaza si blocheaza cu succes malware-ul utilizat de membrii gruparii Desert Falcons.

Mai multe informatii despre gruparea Desert Falcons puteti citi pe Securelist.com

19 februarie 2015, Bucuresti – Kaspersky Lab

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s