Desert Falcons, o noua grupare descoperita de Kaspersky
Kaspersky a descoperit o nouă grupare de spionaj cibernetică, originară din Orientul Mijociu, denumită Desert Falcons.
Echipa de cercetare Kaspersky identifică Desert Falcons drept primul grup de mercenari cibernetici de naționalitate arabă, care proiectează și execută operațiuni de spionaj cibernetic la scară largă. Campania Desert Falcons este activă de cel puțin doi ani, iar gruparea a început să opereze în 2011.
Activitățile principale de infectare a dispozitivelor au fost demarate în 2013 și cel mai important moment din acțiunile grupului s-a înregistrat la începutul anului 2015. De asemenea, cele mai multe ținte sunt localizate în Egipt, Palestina, Israel și Iordania, scrie Playtech.ro
În total, membrii grupării au atacat peste 3.000 de ținte din peste 50 de țări din lume, furând peste un milion de fișiere. Atacatorii folosesc instrumente malware proprii pentru a ataca PC-urile Windows și dispozitivele cu Android.
Lista țintelor vizate include organizații militare și guvernamentale, în special funcționarii specializați în contracararea activităților de spălare de bani, precum și cei care lucrează în sănătate și economie. De asemenea, sunt țintite instituții media de top, instituții de cercetare și educație, furnizori de energie și de utilități, activiști și lideri politici, servicii de pază și protecție și alte ținte care dețin informații geopolitice importante.
Operațiunile Desert Falcons de infectare și de spionaj
Principala metodă utilizată de grupul Desert Falcons pentru a transmite fișiere periculoase este prin spear phishing, mesaje pe rețele sociale și mesaje private. Mesajele de phishing includ fișiere periculoase (sau link-uri către fișiere periculoase) prezentate drept documente sau aplicații legitime. Grupul Desert Falcons utilizează mai multe tehnici pentru a convinge țintele să acceseze fișierele periculoase, precum așa-numita “right-to left extension override”.
Această metodă utilizează un caracter special în format Unicode pentru a inversa ordinea caracterelor din numele fișierului, camuflând extensia documentului periculos în centrul numelui și adăugând o altă extensie, care pare inofensivă, la final.
Utilizând această tehnică, fișierele periculoase (cu extensiile .exe, .scr) par inofensive și se confundă cu documente .pdf, astfel încât chiar și utilizatorii atenți pot fi înclinați să le acceseze. De exemplu, o extensie a unui fișier de tipul .fdp.scr este înlocuită cu una de tipul .rcs.pdf.
După infectarea cu succes a țintei, gruparea Desert Falcons utilizează două fișiere diferite de tip backdoor: troianul Desert Falcons sau backdoor-ul DHS, care par să fi fost dezvoltate integral de aceștia, și care evoluează constant. Experții Kaspersky Lab au reușit să identifice un număr total de peste 100 de mostre de malware utlizate în atacuri.
Instrumentele periculoase utilizate au funcționalitate Backdoor și au capacitatea să capteze imagini, să înregistreze tastele apăsate, să încarce/descarce fișiere, să colecteze informații despre toate fișierele word și excel stocate pe hard disk sau pe dispozitivele USB conectate, să fure parolele stocate (din Internet Explorer și din soft-ul de mesagerie live) și să înregistreze fișiere audio.
Experții Kaspersky Lab au descoperit și urme ale unui malware – care pare a fi un fișier de tip backdoor pentru Android – și care sustrăgea lista de apeluri și SMS-urile.
Grupul Desert Falcons vizează informații confidențiale, iar experții Kaspersky Lab estimează că peste 30 de persoane, din trei echipe localizate în mai multe țări, sunt implicate în campaniile grupului.
