Συναγερμός για τους Άραβες μισθοφόρους που εξαπολύουν επιθέσεις ψηφιακής κατασκοπείας
19.02.2015
15:36
Η λίστα των θυμάτων που στοχοποιήθηκαν περιλαμβάνει στρατιωτικούς και κυβερνητικούς οργανισμούς και ειδικότερα, στελέχη επιφορτισμένα με την αντιμετώπιση του ξεπλύματος μαύρου χρήματος
Η δράση της ομάδας Desert Falcons, ενός φορέα ψηφιακής κατασκοπείας με στόχο πολλούς οργανισμούς και πρόσωπα υψηλού κύρους από χώρες της Μέσης Ανατολής αποκαλύφθηκε στη διάρκεια του Security Analyst Summit της Kaspersky Lab στο Μεξικό. Οι αναλυτές θεωρούν τον φορέα αυτό ως την πρώτη γνωστή αραβική ομάδα «ψηφιακών μισθοφόρων», οι οποίοι έχουν αναπτύξει και πραγματοποιούν ολοκληρωμένες επιχειρήσεις ψηφιακής κατασκοπείας.
Η λίστα των θυμάτων που στοχοποιήθηκαν περιλαμβάνει στρατιωτικούς και κυβερνητικούς οργανισμούς και ειδικότερα, στελέχη επιφορτισμένα με την αντιμετώπιση του ξεπλύματος μαύρου χρήματος. Επίσης, η επίθεση στράφηκε εναντίον στελεχών από τους κλάδους της υγείας και της οικονομίας, κορυφαίων Μέσων Μαζικής Ενημέρωσης, ερευνητικών και εκπαιδευτικών ιδρυμάτων, παρόχων ενέργειας και υπηρεσιών κοινής ωφέλειας, ακτιβιστών και πολιτικών ηγετών, εταιρειών προσωπικής ασφάλειας και άλλων στόχων που έχουν στην κατοχή τους σημαντικές γεωπολιτικές πληροφορίες.
Η επιχείρηση είναι ενεργή εδώ και τουλάχιστον δύο χρόνια. Η ομάδα Desert Falcons άρχισε να αναπτύσσει και να εδραιώνει τη λειτουργία της μέσα στο 2011. Ωστόσο, το ξεκίνημα της βασικής δράσης της ομάδας και των μολύνσεις μέσω του malware της τοποθετείται στο 2013. Η αιχμή της δραστηριότητάς τους καταγράφεται στις αρχές του 2015.
Η συντριπτική πλειοψηφία των στόχων βρίσκεται στην Αίγυπτο, την Παλαιστίνη, το Ισραήλ και την Ιορδανία.
Εκτός από τις χώρες της Μέσης Ανατολής, οι οποίες αποτέλεσαν τους αρχικούς στόχους, η ομάδα Desert Falcons δραστηριοποιείται και εκτός της περιοχής αυτής. Συνολικά, τα μέλη της έχουν καταφέρει να επιτεθούν σε περισσότερα από 3.000 θύματα, σε περισσότερες από 50 χώρες παγκοσμίως, έχοντας υποκλέψει πάνω από ένα εκατομμύριο αρχεία.
Οι επιτιθέμενοι χρησιμοποιούν κακόβουλα εργαλεία που έχουν αναπτύξει οι ίδιοι, ώστε να εξαπολύουν επιθέσεις σε υπολογιστές Windows και συσκευές Android. Οι ειδικοί της Kaspersky Lab έχουν πολλούς λόγους να πιστεύουν ότι η μητρική γλώσσα των μελών της ομάδας Desert Falcons είναι η αραβική.
Η λίστα των θυμάτων που στοχοποιήθηκαν περιλαμβάνει στρατιωτικούς και κυβερνητικούς οργανισμούς και ειδικότερα, στελέχη επιφορτισμένα με την αντιμετώπιση του ξεπλύματος μαύρου χρήματος. Επίσης, η επίθεση στράφηκε εναντίον στελεχών από τους κλάδους της υγείας και της οικονομίας, κορυφαίων Μέσων Μαζικής Ενημέρωσης, ερευνητικών και εκπαιδευτικών ιδρυμάτων, παρόχων ενέργειας και υπηρεσιών κοινής ωφέλειας, ακτιβιστών και πολιτικών ηγετών, εταιρειών προσωπικής ασφάλειας και άλλων στόχων που έχουν στην κατοχή τους σημαντικές γεωπολιτικές πληροφορίες.
Η επιχείρηση είναι ενεργή εδώ και τουλάχιστον δύο χρόνια. Η ομάδα Desert Falcons άρχισε να αναπτύσσει και να εδραιώνει τη λειτουργία της μέσα στο 2011. Ωστόσο, το ξεκίνημα της βασικής δράσης της ομάδας και των μολύνσεις μέσω του malware της τοποθετείται στο 2013. Η αιχμή της δραστηριότητάς τους καταγράφεται στις αρχές του 2015.
Η συντριπτική πλειοψηφία των στόχων βρίσκεται στην Αίγυπτο, την Παλαιστίνη, το Ισραήλ και την Ιορδανία.
Εκτός από τις χώρες της Μέσης Ανατολής, οι οποίες αποτέλεσαν τους αρχικούς στόχους, η ομάδα Desert Falcons δραστηριοποιείται και εκτός της περιοχής αυτής. Συνολικά, τα μέλη της έχουν καταφέρει να επιτεθούν σε περισσότερα από 3.000 θύματα, σε περισσότερες από 50 χώρες παγκοσμίως, έχοντας υποκλέψει πάνω από ένα εκατομμύριο αρχεία.
Οι επιτιθέμενοι χρησιμοποιούν κακόβουλα εργαλεία που έχουν αναπτύξει οι ίδιοι, ώστε να εξαπολύουν επιθέσεις σε υπολογιστές Windows και συσκευές Android. Οι ειδικοί της Kaspersky Lab έχουν πολλούς λόγους να πιστεύουν ότι η μητρική γλώσσα των μελών της ομάδας Desert Falcons είναι η αραβική.
Παρότι, ο φορέας της επίθεσης φαίνεται να δρα σε χώρες όπως η Αίγυπτος, η Παλαιστίνη, το Ισραήλ και η Ιορδανία, πολλά θύματα βρέθηκαν επίσης στο Κατάρ, τη Σαουδική Αραβία, τα Ηνωμένα Αραβικά Εμιράτα, την Αλγερία, το Λίβανο, τη Νορβηγία, την Τουρκία, τη Σουηδία, τη Γαλλία, τις Ηνωμένες Πολιτείες, τη Ρωσία και άλλες χώρες.,
Η κύρια μέθοδος που χρησιμοποιήθηκε από την ομάδα Desert Falcons για τη μεταφορά κακόβουλου φορτίου ήταν το spearphishing μέσω email, μηνυμάτων σε μέσα κοινωνικής δικτύωσης και μηνυμάτων σε chat. Τα μηνύματα phishing περιείχαν κακόβουλα αρχεία (ή link που οδηγούσαν σε κακόβουλα αρχεία), τα οποία μιμούνταν νόμιμα έγγραφα ή εφαρμογές.
Η ομάδα Desert Falcons χρησιμοποιεί διάφορες τεχνικές για να δελεάσει τα θύματα της και να τα αναγκάσει να εκτελέσουν τα κακόβουλα αρχεία. Μία από τις πιο χαρακτηριστικές τεχνικές που χρησιμοποιεί η ομάδα είναι το λεγόμενο «Right-to-Left Override». Η τεχνική αυτή εκμεταλλεύεται έναν ειδικό χαρακτήρα στο Unicode, για να αντιστρέψει τη σειρά των χαρακτήρων στην ονομασία ενός αρχείου, κρύβοντας μια επικίνδυνη επέκταση στη μέση της ονομασίας και τοποθετώντας μία ψεύτικη επέκταση αρχείου, η οποία μοιάζει ακίνδυνη, κοντά στο τέλος της ονομασίας του αρχείου. Χρησιμοποιώντας αυτήν την τεχνική, κακόβουλα αρχεία (.exe, .scr) μοιάζουν με ένα αβλαβές έγγραφο ή αρχείο PDF, ενώ ακόμη και οι προσεκτικοί χρήστες με καλές τεχνικές γνώσεις είναι δυνατό να παρασυρθούν και «τρέξουν» αυτά τα αρχεία. Για παράδειγμα, ένα αρχείο με κατάληξη “.fdp.scr” θα παρουσιαζόταν ως “.rcs.pdf”.
Μετά την επιτυχή «μόλυνση» του θύματος, τα μέλη της ομάδας Desert Falcons χρησιμοποιούν ένα από τα δύο διαφορετικά Backdoors, είτε το βασικό Trojan τους ή το DHS Backdoor, τα οποία φαίνεται να έχουν αναπτυχθεί από την αρχή και να βρίσκονται σε συνεχή ανάπτυξη. Οι ειδικοί της Kaspersky Lab κατάφερνα να ταυτοποιήσουν πάνω από 100 δείγματα κακόβουλου λογισμικού που χρησιμοποιούνται από αυτή την ομάδα για επιθέσεις.
Τα κακόβουλα εργαλεία που χρησιμοποιούνται έχουν πλήρη Backdoor λειτουργικότητα. Έτσι, μπορούν να τραβούν screenshots, να υποκλέπτουν πληκτρολογήσεις, να κάνουν upload ή download αρχεία, να συλλέγουν πληροφορίες σχετικά με όλα τα αρχεία Word και Excel στο σκληρό δίσκο ή τις συνδεδεμένες συσκευές USB ενός θύματος, να υποκλέπτουν κωδικούς πρόσβασης που αποθηκεύονται στο μητρώο του συστήματος (Internet Explorer και Live Messenger) και να κάνουν ηχογραφήσεις. Οι ειδικοί της Kaspersky Lab κατάφεραν επίσης να εντοπίσουν ίχνη από τη δραστηριότητας ενός κακόβουλου λογισμικού, το οποίο φαίνεται να αποτελεί backdoor για Android, με δυνατότητες υποκλοπής κλήσεων και αρχείων καταγραφής SMS.
Η κύρια μέθοδος που χρησιμοποιήθηκε από την ομάδα Desert Falcons για τη μεταφορά κακόβουλου φορτίου ήταν το spearphishing μέσω email, μηνυμάτων σε μέσα κοινωνικής δικτύωσης και μηνυμάτων σε chat. Τα μηνύματα phishing περιείχαν κακόβουλα αρχεία (ή link που οδηγούσαν σε κακόβουλα αρχεία), τα οποία μιμούνταν νόμιμα έγγραφα ή εφαρμογές.
Η ομάδα Desert Falcons χρησιμοποιεί διάφορες τεχνικές για να δελεάσει τα θύματα της και να τα αναγκάσει να εκτελέσουν τα κακόβουλα αρχεία. Μία από τις πιο χαρακτηριστικές τεχνικές που χρησιμοποιεί η ομάδα είναι το λεγόμενο «Right-to-Left Override». Η τεχνική αυτή εκμεταλλεύεται έναν ειδικό χαρακτήρα στο Unicode, για να αντιστρέψει τη σειρά των χαρακτήρων στην ονομασία ενός αρχείου, κρύβοντας μια επικίνδυνη επέκταση στη μέση της ονομασίας και τοποθετώντας μία ψεύτικη επέκταση αρχείου, η οποία μοιάζει ακίνδυνη, κοντά στο τέλος της ονομασίας του αρχείου. Χρησιμοποιώντας αυτήν την τεχνική, κακόβουλα αρχεία (.exe, .scr) μοιάζουν με ένα αβλαβές έγγραφο ή αρχείο PDF, ενώ ακόμη και οι προσεκτικοί χρήστες με καλές τεχνικές γνώσεις είναι δυνατό να παρασυρθούν και «τρέξουν» αυτά τα αρχεία. Για παράδειγμα, ένα αρχείο με κατάληξη “.fdp.scr” θα παρουσιαζόταν ως “.rcs.pdf”.
Μετά την επιτυχή «μόλυνση» του θύματος, τα μέλη της ομάδας Desert Falcons χρησιμοποιούν ένα από τα δύο διαφορετικά Backdoors, είτε το βασικό Trojan τους ή το DHS Backdoor, τα οποία φαίνεται να έχουν αναπτυχθεί από την αρχή και να βρίσκονται σε συνεχή ανάπτυξη. Οι ειδικοί της Kaspersky Lab κατάφερνα να ταυτοποιήσουν πάνω από 100 δείγματα κακόβουλου λογισμικού που χρησιμοποιούνται από αυτή την ομάδα για επιθέσεις.
Τα κακόβουλα εργαλεία που χρησιμοποιούνται έχουν πλήρη Backdoor λειτουργικότητα. Έτσι, μπορούν να τραβούν screenshots, να υποκλέπτουν πληκτρολογήσεις, να κάνουν upload ή download αρχεία, να συλλέγουν πληροφορίες σχετικά με όλα τα αρχεία Word και Excel στο σκληρό δίσκο ή τις συνδεδεμένες συσκευές USB ενός θύματος, να υποκλέπτουν κωδικούς πρόσβασης που αποθηκεύονται στο μητρώο του συστήματος (Internet Explorer και Live Messenger) και να κάνουν ηχογραφήσεις. Οι ειδικοί της Kaspersky Lab κατάφεραν επίσης να εντοπίσουν ίχνη από τη δραστηριότητας ενός κακόβουλου λογισμικού, το οποίο φαίνεται να αποτελεί backdoor για Android, με δυνατότητες υποκλοπής κλήσεων και αρχείων καταγραφής SMS.
Ακολουθήστε το protothema.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις
Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, τη στιγμή που συμβαίνουν, στο Protothema.gr
Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, τη στιγμή που συμβαίνουν, στο Protothema.gr