Experții Global Research and Analysis Team (GReAT) din cadrul Kaspersky Lab au descoperit Desert Falcons, o grupare de spionaj cibernetic de origine arabă care vizează organizații importante și utilizatori individuali localizați în mai multe țări din Orientul Mijlociu.
Echipa de cercetare Kaspersky Lab consideră că Desert Falcons este primul grup de mercenari cibernetici de naționalitate arabă, care proiectează și execută operațiuni de spionaj cibernetic la scară largă.
Lista țintelor vizate include organizații militare și guvernamentale, în special funcționarii specializați în contracararea activităților de spălare de bani, precum și cei care lucrează în sănătate și economie; instituții media de top, instituții de cercetare și educație, furnizori de energie și de utilități, activiști și lideri politici, servicii de pază și protecție și alte ținte care dețin informații geopolitice importante. În total, experții Kaspersky Lab au descoperit peste 3.000 de victime, din peste 50 de țări, și peste un milion de fișiere sustrase. Deși gruparea Desert Falcons a vizat în principal țări precum Egipt, Palestina, Israel și Iordania, mai multe ținte au fost localizate și în Qatar, Arabia Saudită, Emiratele Arabe Unite, Algeria, Liban, Norvegia, Turcia, Suedia, Franța, SUA, Rusia și alte țări.
Operațiunile de infectare și de spionaj
Principala metodă utilizată de grupul Desert Falcons pentru a transmite fișiere periculoase este prin spear phishing, postări pe rețele sociale și mesaje private. Mesajele de phishing includ fișiere periculoase (sau link-uri către fișiere periculoase) prezentate drept documente sau aplicații legitime. Grupul Desert Falcons utilizează mai multe tehnici pentru a convinge țintele să acceseze fișierele periculoase, precum așa-numita “right-to left extension override”. Această metodă utilizează un caracter special în format Unicode pentru a inversa ordinea caracterelor din numele fișierului, camuflând extensia documentului periculos în centrul numelui și adăugând o altă extensie, care pare inofensivă, la final. Utilizând această tehnică, fișierele periculoase (cu extensiile .exe, .scr) par inofensive și se confundă cu documente .pdf, astfel încât chiar și utilizatorii atenți pot fi înclinați să le acceseze. De exemplu, o extensie a unui fișier de tipul .fdp.scr este înlocuită cu una de tipul .rcs.pdf.
După infectarea cu succes a țintei, gruparea Desert Falcons utilizează două fișiere diferite de tip backdoor: troianul Desert Falcons sau backdoor-ul DHS, care par să fi fost dezvoltate integral de aceștia, și care evoluează constant. Experții Kaspersky Lab au reușit să identifice un număr total de peste 100 de mostre de malware utlizate în atacuri.
Instrumentele periculoase utilizate au funcționalitate Backdoor și au capacitatea să capteze imagini, să înregistreze tastele apăsate, să încarce/descarce fișiere, să colecteze informații despre toate fișierele word și excel stocate pe hard disk sau pe dispozitivele USB conectate, să fure parolele stocate (din Internet Explorer și din soft-ul de mesagerie live) și să înregistreze fișiere audio. Experții Kaspersky Lab au descoperit și urme ale unui malware – care pare a fi un fișier de tip backdoor pentru Android – și care sustrăgea lista de apeluri și SMS-urile.
Utilizând aceste instrumente, grupul Desert Falcons a lansat și a derulat cel puțin trei campanii diferite, care vizau mai multe ținte din țări diferite.
Grupul Desert Falcons vizează informații confidențiale
Experții Kaspersky Lab estimează că peste 30 de persoane, din trei echipe localizate în mai multe țări, sunt implicate în campaniile Desert Falcons.
„Atacatorii din spatele acestor activități periculoase sunt foarte hotărâți, activi și dețin informații tehnice, politice și culturale complexe”, a avertizat Dmitry Bestuzhev, Expert în Securitate în cadrul echipei Global Research and Analysis Team. „Prin spear phishing, inginerie socială și instrumente și fișiere backdoor dezvoltate intern, gruparea Desert Falcons a infectat sute de ținte importante din regiunea Orientului Mijlociu, prin intermediul computerelor sau a dispozitivelor mobile, reușind să sustragă date importante. Ne așteptăm la o evoluție a operațiunii prin dezvoltarea mai multor troieni și prin utilizarea unor tehnici și mai avansate. Cu fonduri suficiente, aceștia pot obține și dezvolta exploit-uri care să maximizeze eficiența atacurilor”, a explicat Dmitry Bestuzhev.
Produsele Kaspersky Lab detectează și blochează cu succes malware-ul utilizat de membrii grupării Desert Falcons.