Polowanie na Desert Falcons - pierwsz膮 znan膮 arabsk膮 grup臋 cyberszpiegowsk膮

Globalny Zesp贸艂 ds. Bada艅 i Analiz (GReAT) firmy Kaspersky Lab informuje o wykryciu Desert Falcons - grupy cyberszpiegowskiej atakuj膮cej organizacje oraz osoby fizyczne w pa艅stwach Bliskiego Wschodu. Eksperci z Kaspersky Lab uwa偶aj膮, 偶e jest to pierwsze znane arabskie ugrupowanie cybernajemnik贸w, kt贸re opracowa艂o i przeprowadzi operacje szpiegowskie na pe艂n膮 skal臋.

Najwa偶niejsze fakty

  • Kampania ta jest prowadzona od co najmniej dw贸ch lat. Grupa Desert Falcons zacz臋艂a opracowywa膰 i budowa膰 swoje przedsi臋wzi臋cie w 2011 r., przy czym g艂贸wna kampania i rzeczywista infekcja rozpocz臋艂y si臋 dwa lata p贸藕niej. Szczyt aktywno艣ci przypad艂 na pocz膮tek 2015 r.
  • Ogromna wi臋kszo艣膰 cel贸w znajduje si臋 w Egipcie, Palestynie, Izraelu i Jordanii.
  • Opr贸cz pa艅stw z Bliskiego Wschodu, na kt贸rych skupi艂y si臋 pocz膮tkowo ataki, grupa Desert Falcons poluje r贸wnie偶 na cele spoza tego terytorium. 艁膮cznie zaatakowano ponad 3 000 ofiar w ponad 50 krajach na ca艂ym 艣wiecie, kradn膮c ponad milion plik贸w.
  • Atakuj膮cy wykorzystuj膮 oryginalne szkodliwe narz臋dzia w celu przeprowadzania atak贸w na komputery z systemem Windows oraz urz膮dzenia z Androidem.
  • Eksperci z Kaspersky Lab maj膮 wiele powod贸w, aby s膮dzi膰, 偶e dla os贸b stoj膮cych za operacj膮 Desert Falcons ojczystym j臋zykiem jest arabski.

Lista zaatakowanych ofiar obejmuje organizacje wojskowe i rz膮dowe - w szczeg贸lno艣ci pracownik贸w odpowiedzialnych za przeciwdzia艂anie procederowi prania brudnych pieni臋dzy oraz z sektor贸w zdrowia i gospodarki. Na celowniku znalaz艂y si臋 tak偶e media, instytucje z sektora bada艅 i edukacji, dostawcy energii i medi贸w, aktywi艣ci i przyw贸dcy polityczni, firmy 艣wiadcz膮ce us艂ugi w zakresie bezpiecze艅stwa oraz inne cele posiadaj膮ce istotne informacje geopolityczne. 艁膮cznie eksperci z Kaspersky Lab doszukali si臋 艣lad贸w ponad 3 000 ofiar kradzie偶y ponad miliona plik贸w w ponad 50 pa艅stwach.

Chocia偶 wydaje si臋, 偶e g艂贸wne cele grupy Desert Falcons znajduj膮 si臋 w takich pa艅stwach jak Egipt, Palestyna, Izrael oraz Jordania, wiele ofiar zidentyfikowano r贸wnie偶 w Katarze, Arabii Saudyjskiej, Zjednoczonych Emiratach Arabskich, Algierii, Libanie, Norwegii, Turcji, Szwecji, Francji, Stanach Zjednoczonych, Rosji oraz innych pa艅stwach.



Dostarcz, zainfekuj, szpieguj

G艂贸wn膮 metod膮 stosowan膮 przez grup臋 Desert Falcons w celu dostarczenia szkodliwych program贸w s膮 ukierunkowane wiadomo艣ci phishingowe rozsy艂ane za po艣rednictwem e-maili, portali spo艂eczno艣ciowych oraz czat贸w. Wiadomo艣ci zawieraj膮 szkodliwe pliki (lub odsy艂acze do szkodliwych obiekt贸w) ukryte pod postaci膮 legalnych dokument贸w i aplikacji. Cyberprzest臋pcy wykorzystuj膮 kilka technik w celu sk艂onienia swoich ofiar do uruchomienia szkodliwych plik贸w - jedn膮 z nich jest ukrywanie prawdziwego rozszerzenia zainfekowanego pliku.

Po pomy艣lnej infekcji maszyny ofiary atakuj膮cy wykorzystuj膮 jeden z dw贸ch r贸偶nych szkodliwych program贸w: g艂贸wnego trojana grupy Desert Falcons oraz backdoora DHS, kt贸re zosta艂y prawdopodobnie stworzone od podstaw i s膮 nieustannie rozwijane. Eksperci z Kaspersky Lab zidentyfikowali ponad 100 pr贸bek szkodliwego oprogramowania wykorzystywanego przez t臋 grup臋 w swoich atakach.

Wykorzystane szkodliwe narz臋dzia pozwalaj膮 na zdalne kontrolowanie zainfekowanych maszyn, 艂膮cznie z wykonywaniem zrzut贸w ekranu, przechwytywaniem znak贸w wprowadzanych z klawiatury, zapisywaniem/pobieraniem plik贸w, zbieraniem informacji na temat wszystkich plik贸w Worda i Excela na dysku twardym ofiary lub pod艂膮czonych urz膮dzeniach USB, kradzie偶膮 hase艂 przechowywanych w rejestrze systemu (Internet Explorer oraz Live Messenger) oraz nagrywaniem d藕wi臋ku. Eksperci z Kaspersky Lab trafili r贸wnie偶 na 艣lady aktywno艣ci szkodliwego oprogramowania dla systemu Android, kt贸re potrafi przechwytywa膰 po艂膮czenia telefoniczne i rejestry SMS-贸w.

Przy u偶yciu tych narz臋dzi grupa Desert Falcons przeprowadzi艂a i zarz膮dza艂a co najmniej trzema r贸偶nymi cyberoperacjami, kt贸rych celem by艂y r贸偶ne grupy ofiar w wielu pa艅stwach.

Grupa pustynnych soko艂贸w poluje na sekrety

Badacze z Kaspersky Lab szacuj膮, 偶e szkodliwe kampanie Desert Falcons s膮 prowadzone przez co najmniej 30 os贸b, dzia艂aj膮cych w trzech zespo艂ach rozsianych w r贸偶nych pa艅stwach.

"Osoby stoj膮ce za t膮 kampani膮 s膮 zdeterminowane, aktywne i posiadaj膮 du偶膮 wiedz臋 techniczn膮, polityczn膮 oraz kulturow膮. Przy u偶yciu wiadomo艣ci phishingowych, socjotechniki, w艂asnych narz臋dzi oraz trojan贸w zdo艂ali zainfekowa膰 setki wra偶liwych i wa偶nych cel贸w w regionie Bliskiego Wschodu za po艣rednictwem system贸w komputerowych lub urz膮dze艅 mobilnych, a nast臋pnie przechwyci膰 poufne dane. Spodziewamy si臋, 偶e cz艂onkowie grupy b臋d膮 tworzyli wi臋cej trojan贸w i wykorzystywali bardziej zaawansowane techniki. Przy wystarczaj膮cych 艣rodkach finansowych mog膮 naby膰 lub samodzielnie przygotowa膰 exploity, kt贸re zwi臋ksz膮 skuteczno艣膰 ich atak贸w" - powiedzia艂 Dmitrij Bestu偶ew, ekspert ds. bezpiecze艅stwa, Globalny Zesp贸艂 ds. Bada艅 i Analiz, Kaspersky Lab.

Produkty firmy Kaspersky Lab skutecznie wykrywaj膮 i blokuj膮 szkodliwe oprogramowanie wykorzystywane przez grup臋 Desert Falcons. Wi臋cej informacji na temat kampanii Desert Falcons znajduje si臋 w j臋zyku angielskim na stronie http://r.kaspersky.pl/desert_falcons.

殴ród艂o:
Kaspersky Lab