Globalny Zespół ds. Badań i Analiz (GReAT) firmy Kaspersky Lab informuje o wykryciu Desert Falcons – grupy cyberszpiegowskiej atakującej organizacje oraz osoby fizyczne w państwach Bliskiego Wschodu. Eksperci z Kaspersky Lab uważają, że jest to pierwsze znane arabskie ugrupowanie cybernajemników, które opracowało i przeprowadzi operacje szpiegowskie na pełną skalę.
Najważniejsze fakty
Lista zaatakowanych ofiar obejmuje organizacje wojskowe i rządowe - w szczególności pracowników odpowiedzialnych za przeciwdziałanie procederowi prania brudnych pieniędzy oraz z sektorów zdrowia i gospodarki. Na celowniku znalazły się także media, instytucje z sektora badań i edukacji, dostawcy energii i mediów, aktywiści i przywódcy polityczni, firmy świadczące usługi w zakresie bezpieczeństwa oraz inne cele posiadające istotne informacje geopolityczne. Łącznie eksperci z Kaspersky Lab doszukali się śladów ponad 3 000 ofiar kradzieży ponad miliona plików w ponad 50 państwach.
Chociaż wydaje się, że główne cele grupy Desert Falcons znajdują się w takich państwach jak Egipt, Palestyna, Izrael oraz Jordania, wiele ofiar zidentyfikowano również w Katarze, Arabii Saudyjskiej, Zjednoczonych Emiratach Arabskich, Algierii, Libanie, Norwegii, Turcji, Szwecji, Francji, Stanach Zjednoczonych, Rosji oraz innych państwach.
Dostarcz, zainfekuj, szpieguj
Główną metodą stosowaną przez grupę Desert Falcons w celu dostarczenia szkodliwych programów są ukierunkowane wiadomości phishingowe rozsyłane za pośrednictwem e-maili, portali społecznościowych oraz czatów. Wiadomości zawierają szkodliwe pliki (lub odsyłacze do szkodliwych obiektów) ukryte pod postacią legalnych dokumentów i aplikacji. Cyberprzestępcy wykorzystują kilka technik w celu skłonienia swoich ofiar do uruchomienia szkodliwych plików - jedną z nich jest ukrywanie prawdziwego rozszerzenia zainfekowanego pliku.
Po pomyślnej infekcji maszyny ofiary atakujący wykorzystują jeden z dwóch różnych szkodliwych programów: głównego trojana grupy Desert Falcons oraz backdoora DHS, które zostały prawdopodobnie stworzone od podstaw i są nieustannie rozwijane. Eksperci z Kaspersky Lab zidentyfikowali ponad 100 próbek szkodliwego oprogramowania wykorzystywanego przez tę grupę w swoich atakach.
Wykorzystane szkodliwe narzędzia pozwalają na zdalne kontrolowanie zainfekowanych maszyn, łącznie z wykonywaniem zrzutów ekranu, przechwytywaniem znaków wprowadzanych z klawiatury, zapisywaniem/pobieraniem plików, zbieraniem informacji na temat wszystkich plików Worda i Excela na dysku twardym ofiary lub podłączonych urządzeniach USB, kradzieżą haseł przechowywanych w rejestrze systemu (Internet Explorer oraz Live Messenger) oraz nagrywaniem dźwięku. Eksperci z Kaspersky Lab trafili również na ślady aktywności szkodliwego oprogramowania dla systemu Android, które potrafi przechwytywać połączenia telefoniczne i rejestry SMS-ów.
Przy użyciu tych narzędzi grupa Desert Falcons przeprowadziła i zarządzała co najmniej trzema różnymi cyberoperacjami, których celem były różne grupy ofiar w wielu państwach.
Grupa pustynnych sokołów poluje na sekrety
Badacze z Kaspersky Lab szacują, że szkodliwe kampanie Desert Falcons są prowadzone przez co najmniej 30 osób, działających w trzech zespołach rozsianych w różnych państwach.
"Osoby stojące za tą kampanią są zdeterminowane, aktywne i posiadają dużą wiedzę techniczną, polityczną oraz kulturową. Przy użyciu wiadomości phishingowych, socjotechniki, własnych narzędzi oraz trojanów zdołali zainfekować setki wrażliwych i ważnych celów w regionie Bliskiego Wschodu za pośrednictwem systemów komputerowych lub urządzeń mobilnych, a następnie przechwycić poufne dane. Spodziewamy się, że członkowie grupy będą tworzyli więcej trojanów i wykorzystywali bardziej zaawansowane techniki. Przy wystarczających środkach finansowych mogą nabyć lub samodzielnie przygotować exploity, które zwiększą skuteczność ich ataków" - powiedział Dmitrij Bestużew, ekspert ds. bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.
Źródło informacji: firma Kaspersky Lab
poleca:
