20 февраля 2015

Desert Falcons: первая APT родом с Ближнего Востока

Новости Угрозы

Канкун, Мексика. Исследователи «Лаборатории Касперского» обнаружили первую киберкампанию, создатели которой говорят на арабском языке. Получившая название Desert Falcons группировка состоит примерно из 30 участников (имена некоторых из них известны), базирующихся в Палестине, Египте и Турции. Разработанное группой вредоносное программное обеспечение используется на Ближнем Востоке. Стоит ли за деятельностью Desert Falcons одно из государств — на данный момент неизвестно.

Security Analyst Summit 2015 #theSAS2015

В арсенал Desert Falcons входят вредоносное ПО собственной разработки и непременные в случае APT социальные техники, позволяющие преступникам получать контроль как над традиционными компьютерами, так и над мобильными устройствами. В частности, известно, что разработанные группой зловреды собирают конфиденциальную информацию о своих жертвах, которая используется для дальнейшей деятельности, в том числе для шантажа.

Как сообщает команда глобальных исследований «Лаборатории Касперского» (GReAT), в качестве жертв преступники выбирают людей, обладающих теми или иными секретами либо занимающих важные посты в правительственных или других ключевых организациях.

У жертв кампании Desert Falcons похищено более 1 миллиона файлов

«У жертв кампании Desert Falcons похищено более 1 млн файлов. Украденные файлы содержат дипломатическую переписку посольств, военные планы и документацию, финансовые документы, контактную информацию, принадлежащую особо важным персонам и журналистам, и так далее», — сообщают эксперты.

На данный момент известно примерно о 3 тыс. жертв. Большинство жертв находятся в Палестине, Египте, Израиле и Иордании, однако также они обнаружены и в других странах: Саудовской Аравии, ОАЭ, Соединенных Штатах, Южной Корее, Марокко и Катаре — помимо перечисленных в списке значатся еще около 40 стран.

Desert Falcons - первая ближневосточная APT

Список жертв включает сотрудников военных, здравоохранительных, экономических, финансовых, образовательных и исследовательских организаций, работников ведущих СМИ, энергетических и промышленных компаний, гражданских активистов, сотрудников служб безопасности и организаций по борьбе с отмыванием денег, а также других людей, обладающих доступом к важной геополитической информации.

Используемые группировкой инструменты включают бэкдоры для традиционных компьютеров, с помощью которых преступники устанавливают следящее ПО, умеющее запоминать нажатия клавиш, делать скриншоты и даже записывать аудиофайлы. Кроме того, в кампании Desert Falcons используется компонент для операционной системы Android, с помощью которого преступники перехватывают SMS, контакты и списки звонков.

Один из любопытных фактов, рассказанных на Security Analyst Summit исследователями «Лаборатории Касперского» о Desert Falcons: данная киберкампания — одна из первых, в которой для целевых атак используется чат Facebook. Преступники входят в доверие к жертвам на Facebook, после чего посылают им троянские программы под видом фотографий.

Desert Falcons - первая ближневосточная APT

Группировка начала разработку программных инструментов в 2011 году, первые заражения жертв датируются 2013 годом, однако пик активности приходится на конец 2014-го и начало 2015 года — в данный момент Desert Falcons находится в наиболее активной стадии за всю историю этой киберкампании.

В завершение отметим, что продукты «Лаборатории Касперского» успешно обнаруживают и блокируют вредоносные программы, применяемые группой Desert Falcons.