28 февраля 2015

Кружат над песками: APT-кампания Desert Falcons

Бизнес

Значимых новостей, связанных с темой кибербезопасности, слетелась уже целая туча: на днях «Лаборатория Касперского» выявила активную и весьма, так сказать, процветающую APT-кампанию, получившую название Desert Falcons («Соколы пустыни»), по всей видимости, первую кампанию подобного рода, разработанную и управляемую представителями арабских стран; большинство мишеней располагается на Ближнем Востоке. Результаты изучения кампании представил на Kaspersky Security Analyst Summit наш эксперт по безопасности Дмитрий Бестужев.

Кто они такие?

По всей видимости, это кибернаёмники, собирающие разведданные. Они используют очень замысловатый набор инструментов и, по всей видимости, политически мотивированны, так что за ними вполне может стоять некое государство. С другой стороны, мы выявили как минимум три субкампании, нацеленных на мишени разных типов, в то время как сами атакующие располагаются в Палестине, Турции и Египте. Так что идея о том, что за ними стоит какое-то одно государство, выглядит довольно сомнительно.

falcon_1000

Что они делают?

Desert Falcons атакуют военные и правительственные организации, работников организаций, занимающихся здравоохранением, борьбой с отмыванием денег, а также экономические и финансовые учреждения, ведущие СМИ, исследовательские и образовательные учреждения, энергетические и коммунальные компании, активистов, политических лидеров и охранные компании. Спектр, как видим, широк и разнообразен, единственное, что мишени объединяет, так это потенциальный доступ к важной геополитической информации в тех регионах, в которых они осуществляют свою деятельность.

На данный момент насчитываются более 3000 жертв в 50 с лишним странах. Большая часть из них приходится на Палестину, Египет, Израиль и Иорданию, но также отмечены жертвы в Саудовской Аравии, ОАЭ, США, Южной Корее, Морокко, Катаре и других странах.

И как они это делают?

Авторы вредоносного ПО используют широкий набор технических методов и социальную инженерию для доставки своих файлов на компьютеры жертв и их последующего запуска — самими же жертвами. Вектор заражения получается весьма эффективным, хотя никаких действительно новаторских методов не наблюдается: всё это мы уже видели.

Среди используемых методик — фальшивый веб-сайт, предлагающий пользователям скачать плагин для просмотра видео, якобы содержащего запрещённую цензурой политическую информацию. Плагин, понятно, является зловредом. Также для доставки вредоносных файлов используются спиэр-фишинговые письма (пример — на иллюстрации выше) или сообщения в социальных сетях.

«Соколы» также используют набор бэкдоров для PC и Android. Масштаб успеха громаден: более миллиона файлов были украдены у жертв, в том числе дипломатическая переписка из посольств, военые планы и документы, финансовая документация, контакты представителей СМИ и известных общественных деятелей и их файлы. Данные крались как с жёстких дисков, так и со сменных носителей типа флэшек или USB-носителей.

Активны по-прежнему

Операция на данный момент находится на пике активности. Первые её признаки отмечены в 2011 году, первые заражения — в 2013-м. Посмотрим, настолько ли наглы хакеры, чтобы продолжать работу после их обнаружения.

Продукты «Лаборатории Касперского» обнаруживают и блокируют всё вредоносное ПО, которым пользуются Desert Falcons.

Подробный анализ атак доступен на Securelist.