02/03/2015

Desert Falcons: ataki APT na Bliskim Wschodzie

Informacje Porady Zagrożenia

Cancun, Meksyk — Badacze z Kaspersky Lab wykryli pierwszą w historii arabskojęzyczną grupę wykorzystującą ataki typu APT. Nazwano ją Desert Falcons, liczy około trzydziestu hakerów (niektórzy są znani po imieniu) i działa na terenie Palestyny, Egiptu i Turcji. Wiadomo, że grupa tworzyła i używała swoich narzędzi wyłącznie na Bliskim Wschodzie. Nie jest możliwe potwierdzenie, że Desert Falcons jest sponsorowana przez państwo.

ioct-featured1

Hakerzy sami tworzyli potrzebne szkodliwe oprogramowanie, korzystali z socjotechniki i różnych sposobów przeprowadzania i ukrywania kampanii na tradycyjnych i mobilnych systemach operacyjnych. Głównym zadaniem Deser Falcons była kradzież wrażliwych informacji ofiar, które następnie wykorzystywano do szkodliwych kolejnych działań, w tym wymuszeń.

Według zespołu Global Research and Analysis Team firmy Kaspersky Lab ofiarami są osoby zajmujące wysokie stanowiska w rządzie i ważnych organizacjach, które posiadają dostęp do tajnych danych lub informacji wywiadowczych.

Ofiarom skradziono ponad milion plików.

Ofiarom skradziono ponad milion plików. Skradzione zasoby zawierają zapis rozmów dyplomatycznych z ambasadami, plany wojskowe i dokumenty, dokumenty finansowe, pliki i listy kontaktowe ważnych osobistości i mediów.

Ataki Desert Falcons uderzyły w około 3000 osób w ponad 50 krajach. Większość z nich znajduje się w Palestynie, Egipcie, Izraelu i Jordanii, ale odnotowano także przypadki m.in. w Arabii Saudyjskiej, Zjednoczonych Emiratach Arabskich, Stanach Zjednoczonych, Korei Południowej, Maroku i Katarze.

Jej ofiarami były organizacje wojskowe i rządowe, pracownicy organizacji zdrowotnych i odpowiedzialnych za zwalczanie procederu prania brudnych pieniędzy, instytucje gospodarcze i finansowe, znane media, instytucje badawcze i edukacyjne, dostawcy energii, aktywiści i liderzy polityczni, firmy zajmujące się zapewnianiem bezpieczeństwa fizycznego i inne cele, które posiadały dostęp do ważnych informacji geopolitycznych.

W przypadku tradycyjnych komputerów Desert Falcons wykorzystywał backdoory umożliwiające instalowanie szkodliwego oprogramowania, które rejestrowało wciskane klawisze, wykonywało zrzuty ekranu, a nawet zdalnie nagrywało dźwięk. Natomiast dla Androida stworzono osobny komponent, odczytujący treści SMS-ów i rejestr połączeń.

Co ciekawe: badacze, którzy poinformowali o Desert Falcons podczas szczytu Security Analyst Summit zorganizowanym przez firmę Kaspersky Lab, stwierdzili, że był to pierwszy przypadek, w którym ktoś wykorzystał czat Facebooka do przeprowadzenia ataków ukierunkowanych. Hakerzy korespondowali z wybranymi osobami za pośrednictwem tego portalu społecznościowego dotąd, aż zdobyli ich zaufanie, a następnie wysyłali swoim ofiarom rzekome zdjęcia, które faktycznie były plikami zawierającymi trojana.

Grupa zaczęła tworzyć swoje narzędzia już w 2011 roku, po raz pierwszy zainfekowała w 2013, jednak działalność na większą skalę zaobserwowano między końcem 2014 i początkiem 2015 roku. Wygląda więc na to, że grupa jest teraz bardziej aktywna niż kiedykolwiek wcześniej.

Produkty firmy Kaspersky Lab wykrywają i blokują wszystkie odmiany szkodliwego oprogramowania używanego w tej kampanii.