Arabii au prima grupare de spionaj cibernetic: Ce date are Kaspersky despre Desert Falcons

de: Răzvan Băltărețu
19 02. 2015

După ruși, americani și chinezi, acum arabii își pregătesc armatele cibernetice. Kaspersky informează cu privire la Desert Falcons, o grupare de spionaj cibernetic de origine arabă care vizează organizații importante și utilizatori individuali localizați în mai multe țări din Orientul Mijlociu.

Echipa de cercetare Kaspersky identifică Desert Falcons drept primul grup de mercenari cibernetici de naționalitate arabă, care proiectează și execută operațiuni de spionaj cibernetic la scară largă. Campania Desert Falcons este activă de cel puțin doi ani, iar gruparea a început să opereze în 2011. Activitățile principale de infectare a dispozitivelor au fost demarate în 2013 și cel mai important moment din acțiunile grupului s-a înregistrat la începutul anului 2015. De asemenea, cele mai multe ținte sunt localizate în Egipt, Palestina, Israel și Iordania.

În total, membrii grupării au atacat peste 3.000 de ținte din peste 50 de țări din lume, furând peste un milion de fișiere. Atacatorii folosesc instrumente malware proprii pentru a ataca PC-urile Windows și dispozitivele cu Android. Lista țintelor vizate include organizații militare și guvernamentale, în special funcționarii specializați în contracararea activităților de spălare de bani, precum și cei care lucrează în sănătate și economie. De asemenea, sunt țintite instituții media de top, instituții de cercetare și educație, furnizori de energie și de utilități, activiști și lideri politici, servicii de pază și protecție și alte ținte care dețin informații geopolitice importante.

Operațiunile Desert Falcons de infectare și de spionaj

Principala metodă utilizată de grupul Desert Falcons pentru a transmite fișiere periculoase este prin spear phishing, mesaje pe rețele sociale și mesaje private. Mesajele de phishing includ fișiere periculoase (sau link-uri către fișiere periculoase) prezentate drept documente sau aplicații legitime. Grupul Desert Falcons utilizează mai multe tehnici pentru a convinge țintele să acceseze fișierele periculoase, precum așa-numita “right-to left extension override”.

Această metodă utilizează un caracter special în format Unicode pentru a inversa ordinea caracterelor din numele fișierului, camuflând extensia documentului periculos în centrul numelui și adăugând o altă extensie, care pare inofensivă, la final. Utilizând această tehnică, fișierele periculoase (cu extensiile .exe, .scr) par inofensive și se confundă cu documente .pdf, astfel încât chiar și utilizatorii atenți pot fi înclinați să le acceseze. De exemplu, o extensie a unui fișier de tipul .fdp.scr este înlocuită cu una de tipul .rcs.pdf.

După infectarea cu succes a țintei, gruparea Desert Falcons utilizează două fișiere diferite de tip backdoor: troianul Desert Falcons sau backdoor-ul DHS, care par să fi fost dezvoltate integral de aceștia, și care evoluează constant. Experții Kaspersky Lab au reușit să identifice un număr total de peste 100 de mostre de malware utlizate în atacuri.

Instrumentele periculoase utilizate au funcționalitate Backdoor și au capacitatea să capteze imagini, să înregistreze tastele apăsate, să încarce/descarce fișiere, să colecteze informații despre toate fișierele word și excel stocate pe hard disk sau pe dispozitivele USB conectate, să fure parolele stocate (din Internet Explorer și din soft-ul de mesagerie live) și să înregistreze fișiere audio. Experții Kaspersky Lab au descoperit și urme ale unui malware – care pare a fi un fișier de tip backdoor pentru Android – și care sustrăgea lista de apeluri și SMS-urile.

Grupul Desert Falcons vizează informații confidențiale, iar experții Kaspersky Lab estimează că peste 30 de persoane, din trei echipe localizate în mai multe țări, sunt implicate în campaniile Desert Falcons.