A Kaspersky Lab szakértői a Desert Falcons-t tekintik az első ismert arab csoportnak, amely kiber-zsoldosaival teljeskörĹą kiberkémkedési mĹąveleteket fejleszt és hajt végre.

● A Desert Falcons 2011-ben kezdte a hadmĹąveletek fejlesztését, a fő támadásuk és a valódi fertőzés pedig 2013 elejére tehető. Tevékenységük csúcsát 2015 elején mérték.
● A célpontok túlnyomó többsége Egyiptomban, Palesztinában, Izraelben és Jordániában található.
● Bár a Közel-Kelet országai voltak az elsődleges célpontok, a Desert Falcons e területen kívül is támadott. Összesen több, mint 50 országban 3000-nél is több áldozatuk van és egymilliónál is több fájl ellopásáért felelősek.
● A támadásokhoz saját rosszindulatú eszközeiket használták Windows és Android operációs rendszert futtató készülékek ellen.
● A Kaspersky Lab szakértőinek több oka is van azt feltételezni, hogy a Desert Falcons mögött álló támadók arab anyanyelvĹąek.

 

Az áldozatok között katonai és állami szervezetek is vannak – részben olyan alkalmazottak, akik a pénzmosás ellen küzdenek, valamint egészségügyi és üzleti szektorhoz tartozók, vezető médiumok; kutatási és oktatási intézmények; energetikai és közüzemi szolgáltatók; aktivisták és politikai vezetők; továbbá biztonsági cégek és egyéb olyan célpontok, akik fontos geopolitikai információk birtokában lehetnek. A Kaspersky Lab szakértői összesen több, mint 50 ország 3000 áldozatát tudták azonosítani, az ellopott fájlok száma pedig meghaladja az egymilliót. Bár a Desert Falcons tevékenysége elsősorban Egyiptomra, Palesztinára, Izraelre és Jordániára korlátozódott, számos áldozatra bukkantak Katar, Szaúd-Arábia, az Egyesült Arab Emírségek, Algéria, Libanon, Norvégia, Törökország, Svédország, Franciaország, az Egyesült Államok, Oroszország, és más országok területén is.

A Falcons csoport fő módszere az volt, hogy a rosszindulatú programot adathalász oldalak segítségével terjesztették, email-en, közösségi média felületek bejegyzésein és chat üzeneteken keresztül. Az adathalász üzenetek tartalmazták a rosszindulatú fájlokat (vagy az azokra vezető linket) valós dokumentumnak vagy alkalmazásnak álcázva. A Desert Falcons tagjai különböző technikákat használtak arra, hogy rávegyék az áldozatokat, hogy a rosszindulatú fájlokat futtassák. Az egyik legjellemzőbb módszer az úgynevezett kiterjesztést felcserélő trükk volt. Ez a módszer az Unicode egy speciális karakterét használja ki, és annak segítségével felcseréli a fájl nevének karaktereit, ezáltal a veszélyes fájl kiterjesztése a fájlnév közepére kerül, és az ártalmatlannak tĹąnő kiterjesztés pedig a végére. A technikával a rosszindulatú fájl (.exe vagy .scr kiterjesztéssel) úgy tĹąnik, mint egy ártalmatlan dokumentum vagy pdf fájl, és emiatt még az óvatos felhasználók is könnyen bedőlhetnek. Például egy olyan fájl, ami eredetileg .fdp.scr végződésĹą lenne, ennek segítségével .rcs.pdf lesz.

Egy áldozat sikeres megfertőzését követően egy vagy két különböző backdoort alkalmaznak: a fő Desert Falcons trójait, vagy a DHS backdoort, amelyeket látszólag a semmiből fejlesztettek, és folyamatos fejlesztés alatt állnak. A Kaspersky szakértői összesen több, mint 100 malware mintát tudtak azonosítani a csoport támadásaiban.

A használt rosszindulatú eszközöknek teljes backdoor funkciója is van, a több között képesek screenshot-okat készíteni, valamint a billentyĹąleütések rögzítésre, fájlok fel-, és letöltésére, és az áldozatok merevlemezén vagy csatolt USB eszközén tárolt World és Excel fájlok összes adatának összegyĹątjésére. Ráadásul a Kaspersky Lab szakértői egy olyan malware nyomaira is bukkantak, amely androidos backdoor-ként képes mobilhívások és SMS naplók lopására is.

 

hirado.hu