Jacht op Desert Falcons – de eerste bekende Arabische cyberspionagegroep voert wereldwijd aanvallen uit op duizenden doelwitten
Utrecht, 17 februari 2015 – Het Global Research and Analysis Team van
Kaspersky Lab heeft het bestaan ontdekt van Desert Falcons – een cyberspionagegroep met als doelwitten meerdere gereputeerde organisaties en individuen uit landen in het Midden-Oosten. Deskundigen van Kaspersky Lab beschouwen deze actor als de eerste bekende Arabische groep van cyberhuurlingen die zich bezighoudt met het ontwikkelen en uitvoeren van grootschalige cyberspionage-operaties.
- De campagne is al ten minste twee jaar actief. De Desert Falcons begonnen hun activiteiten te ontwikkelen en op te bouwen in 2011, terwijl hun belangrijkste campagne en daadwerkelijke infecties in 2013 van start gingen. Het hoogtepunt van hun activiteit werd begin 2015 geregistreerd;
- De overgrote meerderheid van de doelen bevindt zich in Egypte, Palestina, Israël en Jordanië;
- Afgezien van de als initiële doelwitten beschouwde landen in het Midden-Oosten, jagen de Desert Falcons ook buiten hun eigen grondgebied. In totaal zijn ze er in geslaagd om meer dan 3.000 doelwitten aan te vallen in ruim 50 landen wereldwijd, waarbij meer dan een miljoen bestanden zijn gestolen;
- De aanvallers maken gebruik van zelf ontwikkelde kwaadaardige tools voor aanvallen op Windows pc's en Android-apparaten;
- Deskundigen van Kaspersky Lab hebben meerdere redenen om aan te nemen dat de Desert Falcons-aanvallers Arabisch als moedertaal hebben.
De lijst van aangevallen doelwitten omvat leger- en overheidsorganisaties - specifiek werknemers die verantwoordelijk zijn voor de bestrijding van het witwassen van geld, alsmede volksgezondheid en de economie; toonaangevende mediabedrijven; onderzoeks- en onderwijsinstellingen; energie- en nutsbedrijven; activisten en politieke leiders; fysieke beveiligingsbedrijven; en andere doelen die in het bezit zijn van belangrijke geopolitieke informatie. In totaal wisten deskundigen van Kaspersky Lab aanwijzingen te vinden voor meer dan 3.000 slachtoffers in ruim 50 landen, met meer dan een miljoen gestolen bestanden. Hoewel de belangrijkste focus van de Desert Falcons’ activiteit lijkt te liggen op landen als Egypte, Palestina, Israël en Jordanië, werden ook meerdere slachtoffers gevonden in Qatar, Saudi-Arabië, de Verenigde Arabische Emiraten, Algerije, Libanon, Noorwegen, Turkije, Zweden, Frankrijk, de Verenigde Staten, Rusland en andere landen.
Afleveren, infecteren, spioneren
De belangrijkste door de Desert Falcons gebruikte methode om hun kwaadaardige payload af te leveren, is spear phishing via e-mails, berichten op sociale netwerken en chatberichten. Phishing-berichten bleken schadelijke bestanden (of een link naar schadelijke bestanden) te bevatten, vermomd als legitieme documenten of applicaties. De Desert Falcons gebruiken verschillende technieken om slachtoffers te verleiden tot het uitvoeren van de schadelijke bestanden. Een van de meest specifieke technieken is de zogenaamde rechts-naar-links extensie opheffingstruc.
Deze methode maakt gebruik van een speciaal teken in Unicode om de volgorde van leestekens in een bestandsnaam om te draaien, de gevaarlijke bestandsextensie in het midden van de bestandsnaam te verbergen en een onschuldig uitziende nep-bestandsextensie in de buurt van het einde van de bestandsnaam te plaatsen. Met behulp van deze techniek zien kwaadwillige bestanden (.exe, .scr) er uit als een onschuldig document of PDF-bestand. Zelfs oplettende gebruikers met goede technische kennis kunnen hiermee worden verleid tot het uitvoeren van deze bestanden. Een bestand dat eindigt op
.fdp.scr komt er bijvoorbeeld uit te zien als
.rcs.pdf.
Na succesvolle infectie van een slachtoffer gebruiken de Desert Falcons een van de twee verschillende backdoors: de belangrijkste Desert Falcons Trojan of de DHS backdoor. Beide lijken vanaf de grond af te zijn ontwikkeld en worden voortdurend verder ontwikkeld. Deskundigen van Kaspersky Lab slaagden er in om in totaal meer dan 100 malware samples te identificeren die door de groep werden gebruikt tijdens hun aanvallen.
De gebruikte kwaadaardige tools hebben volledige backdoorfunctionaliteit, inclusief de mogelijkheid om screenshots te maken, toetsaanslagen vast te leggen, bestanden te uploaden/downloaden, informatie te verzamelen over alle Word- en Excel-bestanden op de vaste schijf of op aangesloten USB-apparaten van een slachtoffer, in het systeemregister opgeslagen wachtwoorden te stelen (Internet Explorer en Live Messenger) en audio-opnamen te maken. Kaspersky Lab-experts wisten ook sporen van malware-activiteit te vinden die wijzen op een Android-backdoor waarmee mobiele gesprekken en sms-logs kunnen worden gestolen. Met behulp van deze tools introduceerden en beheerden de Desert Falcons ten minste drie verschillende kwaadaardige campagnes, gericht op verschillende sets doelwitten in verschillende landen.
Valken op jacht naar geheimen
Onderzoekers van Kaspersky Lab schatten dat ten minste 30 mensen, in drie teams verspreid over verschillende landen, de Desert Falcons malwarecampagnes uitvoeren.
"De personen achter deze dreigingsactor zijn zeer vastbesloten, actief en beschikken over goed technisch, politiek en cultureel inzicht. Uitsluitend gebruik makend van phishing e-mails, social engineering en zelfgemaakte tools en backdoors, slaagden de Desert Falcons er in om via hun computersystemen of mobiele apparaten honderden gevoelige en belangrijke doelwitten te infecteren in het Midden-Oosten en gevoelige gegevens te exfiltreren. Wij verwachten dat deze operatie meer Trojans zal blijven ontwikkelen en meer geavanceerde technieken zal gaan gebruiken. Met voldoende financiële middelen kunnen zij in het bezit komen van exploits of deze zelf ontwikkelen, om zo de efficiëntie van hun aanvallen te verhogen", zegt Dmitry Bestuzhev, beveiligingsdeskundige bij het Global Research and Analysis Team van Kaspersky Lab.
Kaspersky Lab-producten detecteren en blokkeren de door Desert Falcons dreigingsactors gebruikte malware.
Lees meer over de campagne op
Securelist.com