Grupo de espionagem cibernética árabe visando milhares de v …

19 de fevereiro de 2015

A Equipe Global de Pesquisa e Análise da Kaspersky Lab descobriu o ‘Desert Falcons’ – um grupo de espionagem cibernética que visa várias organizações e indivíduos de alto perfil de países do Oriente Médio.

A lista de vítimas visadas inclui organizações militares e governamentais – especialmente funcionários responsáveis ​​pela luta contra a lavagem de dinheiro, bem como o setor da saúde e a economia; mídia principal; instituições de pesquisa e ensino; fornecedores de energia e serviços públicos; ativistas e líderes políticos; empresas de segurança física; e outros alvos na posse de informações geopolíticas importantes. No total, os especialistas da Kaspersky Lab foram capazes de encontrar sinais de mais de 3.000 vítimas em mais de 50 paises, e mais de um milhão de arquivos roubados. Embora o principal objetivo da atividade dos Falcões do Deserto pareça estar focado em países como Egito, Palestina, Israel e Jordânia, várias vítimas também foram encontradas no Catar, Arábia Saudita, Emirados Árabes Unidos, Argélia, Líbano, Noruega, Turquia, Suécia, França., Estados Unidos, Rússia e outros países.

Os especialistas da Kaspersky Lab consideram esse ator como o primeiro grupo árabe de mercenários cibernéticos a desenvolver e executar operações de espionagem cibernética em grande escala.

  • A campanha está ativa há pelo menos dois anos. Desert Falcons começou a desenvolver e construir sua operação em 2011, sendo sua campanha principal e verdadeiro início de infecção em 2013. O pico de sua atividade foi registrado no início de 2015;
  • A grande maioria de seus alvos está no Egito, Palestina, Israel e Jordânia;
  • Além dos países do Oriente Médio nos quais focalizaram seus alvos iniciais, os Falcões do Deserto também estão caçando fora do território. Em suma, ele foi capaz de atacar mais de 3.000 vítimas em mais de 50 países ao redor do mundo, com mais de um milhão de arquivos roubados.
  • Os invasores usam ferramentas maliciosas proprietárias para atacar computadores Windows e dispositivos Android;
  • Os especialistas da Kaspersky Lab têm várias razões para acreditar que os invasores por trás dos Desert Falcons são a língua materna árabe.

Distribuir, infectar, espionar

O principal método usado pelo Falcons para distribuir a carga maliciosa é o spearphishing por meio de e-mails, mensagens de mídia social e mensagens de bate-papo. As mensagens de phishing continham arquivos maliciosos (ou um link para arquivos maliciosos) disfarçados de documentos ou aplicativos legítimos. O Desert Falcons usa muitas técnicas para induzir as vítimas a executar arquivos maliciosos. Uma das técnicas mais específicas é o truque de ignorar a chamada extensão da direita para a esquerda.

Este método tira proveito de um caractere especial em Unicode para inverter a ordem dos caracteres em um nome de arquivo, ocultando a extensão de arquivo perigosa no meio do nome do arquivo e colocando uma extensão de arquivo falsa de aparência inofensiva no final do nome do arquivo . Usando essa técnica, arquivos maliciosos (.exe, .scr) parecerão um documento inofensivo ou arquivo PDF; e até mesmo usuários cuidadosos com bom conhecimento técnico podem ser induzidos a executar esses arquivos. Por exemplo, um arquivo com o final.fdp.scr vai aparecer .rcs.pdf.

Após a infecção bem-sucedida de uma vítima, o Desert Falcons usará um de dois backdoors diferentes: o Trojan Desert Falcons principal ou o DHS Backdoor, ambos os quais parecem ter sido desenvolvidos do zero e estão em desenvolvimento contínuo. Os especialistas da Kaspersky Lab foram capazes de identificar um total de mais de 100 amostras de malware usadas pelo grupo em seus ataques.

As ferramentas maliciosas usadas têm a funcionalidade completa do Backdoor, incluindo a capacidade de fazer capturas de tela, gravar teclas digitadas, fazer upload e download de arquivos, coletar informações sobre todos os arquivos Word e Excel no disco rígido da vítima ou de dispositivos USB conectados, roubar senhas armazenadas o registro do sistema (Internet Explorer e Live Messenger), bem como fazer gravações de áudio. Os especialistas da Kaspersky Lab também conseguiram encontrar vestígios de atividade de malware que parece ser um backdoor do Android, capaz de roubar chamadas móveis e logs de SMS.

Usando essas ferramentas, o Desert Falcons lançou e gerenciou pelo menos três diferentes campanhas maliciosas visando grupos específicos de vítimas em vários países.

Um grupo de falcões em busca de segredos

Os pesquisadores da Kaspersky Lab estimam que pelo menos 30 pessoas, em três equipes, espalhadas por diferentes países, estão operando as campanhas de malware do Desert Falcons.

“Os indivíduos por trás dessa ameaça são altamente determinados, ativos e com muito conhecimento cultural, político e técnico. Usando apenas e-mails de phishing, engenharia social e ferramentas caseiras e Back Doors, os Desert Falcons foram capazes de infectar centenas de vítimas importantes e sensíveis na região do Oriente Médio por meio de seus sistemas de computador ou dispositivos móveis e extrair dados confidenciais. Prevemos que esta operação continuará a desenvolver mais Trojans e usar técnicas mais avançadas. Com financiamento suficiente, eles podem adquirir ou desenvolver exploits que aumentem a eficiência de seus ataques ”, disse ele. Dmitry Bestuzhev, Diretor da Equipe de Análise e Pesquisa para a América Latina da Kaspersky Lab.

[+] Videos de nuestro canal de YouTube