A Desert Falcons nyomában

Az első ismert arab kiberkém-csoport

Az első ismert arab csoport, amely kiber-zsoldosaival teljeskörű kiberkémkedési műveleteket fejleszt és hajt végre.

2015.02.21 17:00ma.hu
nyomtatásKinyomtatom
+Nagyobb betűméret-Kisebb betűméretbetűméret

A Kaspersky Lab globális kutató és elemző csapata (GReAT) felfedte a Desert Falcons-t, egy olyan kiberkémekből álló csoportosulást, amely elsősorban a Közel-Kelet nagy hordejerű szervezeteit célozza, de független személyek is vannak az áldozataik között. A Desert Falcons 2011-ben kezdte a hadműveletek fejlesztését, a fő támadásuk és a valódi fertőzés pedig 2013 elejére tehető. Tevékenységük csúcsát 2015 elején mérték.

Az áldozatok között katonai és állami szervezetek is vannak - részben olyan alkalmazottak, akik a pénzmosás ellen küzdenek, valamint egészségügyi és üzleti szektorhoz tartozók, vezető médiumok; kutatási és oktatási intézmények; energetikai és közüzemi szolgáltatók; aktivisták és politikai vezetők; továbbá biztonsági cégek és egyéb olyan célpontok, akik fontos geopolitikai információk birtokában lehetnek.

Összesen több mint 50 ország 3000 áldozatát tudták azonosítani, az ellopott fájlok száma pedig meghaladja az egymilliót. Bár a Desert Falcons tevékenysége elsősorban Egyiptomra, Palesztinára, Izraelre és Jordániára korlátozódott, számos áldozatra bukkantak Katar, Szaúd-Arábia, az Egyesült Arab Emírségek, Algéria, Libanon, Norvégia, Törökország, Svédország, Franciaország, az Egyesült Államok, Oroszország, és más országok területén is.

A Falcons csoport fő módszere az volt, hogy a rosszindulatú programot adathalász oldalak segítségével terjesztették, e-mailen, közösségi média felületek bejegyzésein és chat üzeneteken keresztül. Az adathalász üzenetek tartalmazták a rosszindulatú fájlokat (vagy az azokra vezető linket) valós dokumentumnak vagy alkalmazásnak álcázva.

A Desert Falcons tagjai különböző technikákat használtak arra, hogy rávegyék az áldozatokat, hogy a rosszindulatú fájlokat futtassák. Az egyik legjellemzőbb módszer az úgynevezett kiterjesztést felcserélő trükk volt. Ez a módszer az Unicode egy speciális karakterét használja ki, és annak segítségével felcseréli a fájl nevének karaktereit, ezáltal a veszélyes fájl kiterjesztése a fájlnév közepére kerül, és az ártalmatlannak tűnő kiterjesztés pedig a végére. Ezzel a technikával a rosszindulatú fájl (.exe vagy .scr kiterjesztéssel) úgy tűnik, mint egy ártalmatlan dokumentum vagy pdf fájl, és emiatt még az óvatos felhasználók is könnyen bedőlhetnek. Például egy olyan fájl, ami eredetileg .fdp.scr végződésű lenne, ennek segítségével .rcs.pdf lesz.

Forrás: Kaspersky

Egy áldozat sikeres megfertőzését követően egy vagy két különböző backdoort alkalmaznak: a fő Desert Falcons trójait, vagy a DHS backdoort, amelyeket látszólag a semmiből fejlesztették, és folyamatos fejlesztés alatt állnak. A Kaspersky Lab szakértői összesen több mint 100 malware mintát tudtak azonosítani a csoport támadásaiban.

A használt rosszindulatú eszközöknek teljes backdoor funkciója is van, többek között képesek screenshotokat készíteni, valamint a billentyűleütések rögzítésre, fájlok fel- és letöltésére, és az áldozatok merevlemezén vagy csatolt USB eszközén tárolt World és Excel fájlok összes adatának összegyűtjésére. Ráadásul a Kaspersky Lab szakértői egy olyan malware nyomaira is bukkantak, amely androidos backdoor-ként képes mobilhívások és SMS naplók lopására is.

"A támadássorozat mögött állók rendkívül eltökéltek és aktívak lehetnek, valamint jó technikai, politikai, és kulturális rálátással rendelkeznek. Mindössze adathalász e-mailekkel, pszichológiai manipulációval és backdoorok segítségével képesek voltak érzékeny és fontos áldozatok százait megfertőzni számítógépükön vagy mobileszközeiken keresztül a közel-keleti régióban. Arra számítunk, hogy ez az akció még több trójai fejlesztését, és magasabb szintű technikák alkalmazását hívja majd elő. Elégséges finanszírozással képesek lehetnek arra, hogy megszerezzenek vagy fejlesszenek olyan exploitokat, amelyek a támadásaik hatékonyságát növelné." - mondta Dmitry Bestuzhev, a Kaspersky Lab globális kutató és elemző csapatának biztonsági szakértője, aki arról is beszámolt, hogy a vállalat termékei sikeresen felderítették és blokkolták a Desert Falcons malware-eit.

Kapcsolódó írások:

Figyelem! A cikkhez hozzáfűzött hozzászólások nem a ma.hu network nézeteit tükrözik. A szerkesztőség mindössze a hírek publikációjával foglalkozik, a kommenteket nem tudja befolyásolni - azok az olvasók személyes véleményét tartalmazzák.

Kérjük, kulturáltan, mások személyiségi jogainak és jó hírnevének tiszteletben tartásával kommenteljenek!

Amennyiben a Könyjelző eszköztárába szeretné felvenni az oldalt, akkor a hozzáadásnál a Könyvjelző eszköztár mappát válassza ki. A Könyvjelző eszköztárat a Nézet / Eszköztárak / Könyvjelző eszköztár menüpontban kapcsolhatja be.