Scoperto Desert Falcons, gruppo di spionaggio informatico del Medio Oriente

Il Global Research and Analysis Team di Kaspersky Lab ha scoperto Desert Falcons, un gruppo di spionaggio informatico del Medio Oriente che prende di mira molte organizzazioni e individui di alto profilo.

Gli esperti di Kaspersky Lab considerano questo gruppo la prima cellula conosciuta di cybermercenari arabi ad aver sviluppato e avviato operazioni di spionaggio informatico su vasta scala.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

• La campagna è stata attiva per almeno due anni. I Desert Falcons hanno iniziato a progettare la loro operazione nel 2011, mentre la campagna principale e la vera infezione sono iniziate nel 2013. Il picco della loro attività è stato registrato all’inizio del 2015;

• La grande maggioranza degli obiettivi è situata in Egitto, Palestina, Israele e Giordania;

• Oltre ai Paesi del Medio Oriente, che hanno costituito i primi obiettivi, i Desert Falcons colpiscono anche al di fuori del territorio. Nel complesso, sono stati in grado di attaccare più di 3.000 vittime in più di 50 Paesi in tutto il mondo, rubando più di un milione di file;

• I criminali usano tool nocivi proprietari sviluppati per attaccare PC Windows e dispositivi basati su Android;

• Gli esperti di Kaspersky Lab hanno molte ragioni per credere che i criminali dietro a Desert Falcons siano madrelingua arabi.

 

DF_IT

 

L’elenco delle vittime colpite include organizzazioni militari e di governo (specialmente impiegati coinvolti nella lotta al riciclaggio di denaro, oltre che addetti ai settori della salute e dell’economia); i principali media; istituti di ricerca ed educazione; fornitori di energia e gestori di rete; attivisti e leader politici; aziende di sicurezza fisica; e altri obiettivi in possesso di importanti informazioni geopolitiche. In totale, gli esperti di Kaspersky Lab sono stati in grado di trovare tracce di più di 3.000 vittime in più di 50 Paesi, con più di un milione di file rubati. Sebbene gli obiettivi principali dell’attività dei Desert Falcons sembrino essere in Paesi come Egitto, Palestina, Israele e Giordania, sono state trovate molte vittime anche in Qatar, Arabia Saudita, Emirati Arabi Uniti, Algeria, Libano, Norvegia, Turchia, Svezia, Francia, Stati Uniti, Russia e altri ancora.

Leggi anche:  Kaspersky Endpoint Detection and Response Expert riconosciuto come Strategic Leader da AV-Comparatives

Consegna, infetta, spia

Il principale metodo usato dai Falcons per consegnare il payload nocivo è lo spear phishing tramite email, post nei social network e messaggi in chat. I messaggi di phishing contenevano file nocivi (o un link ad essi) mascherati da applicazioni o documenti legittimi. I Desert Falcons usano diverse tecniche per indurre le vittime ad avviare i file maligni. Una delle tecniche più specifiche è il cosiddetto trucco del “right-to-left override” (RLO) dell’estensione.

Questo metodo sfrutta uno speciale carattere Unicode che serve a invertire l’ordine dei caratteri del nome di un file, nascondendo l’estensione pericolosa del file stesso al centro del suo nome e posizionando un’estensione falsa e apparentemente innocua alla fine del nome del file. Usando questa tecnica, i file nocivi (.exe, .scr) sembreranno innocui documenti o file pdf e anche gli utenti scrupolosi con buone conoscenze tecniche potranno essere indotta ad aprirli. Ad esempio, un file che termina in .fdp.scr apparirebbe come .rcs.pdf.

 

DF_timeline_IT

 

Dopo aver infettato una vittima, i Desert Falcons usano una Backdoor tra le due seguenti: il loro Trojan principale o la Backdoor DHS, entrambi apparentemente sorti dal nulla e sono in continuo sviluppo. Gli esperti di Kaspersky Lab sono stati in grado di identificare un totale di più di 100 campioni di malware usati dal gruppo per i suoi attacchi.
I tool nocivi utilizzati hanno tutte le funzionalità di una Backdoor, inclusa la capacità di effettuare screenshot, registrare i tasti digitati, eseguire upload e download di file, raccogliere informazioni su tutti i file Word ed Excel sull’Hard Disk della vittima o su dispositivi USB collegati, rubare le password archiviate nel registro di sistema (Internet Explorer e Live Messenger) e fare registrazioni audio. Gli esperti di Kaspersky Lab sono stati anche in grado di trovare tracce di attività di un malware che sembra essere una Backdoor Android in grado di rubare chiamate e SMS.

Leggi anche:  Gen rivela le previsioni sulla Cybersecurity per il 2024

Usando questi tool, i Desert Falcons hanno lanciato e gestito almeno tre diverse campagne nocive che hanno preso di mira diversi gruppi di vittime in diversi Paesi.

Desert_Falcons_APT_Geography

 

Uno stormo di “falchi” a caccia di segreti

I ricercatori di Kaspersky Lab stimano che almeno 30 persone, divise in tre gruppi, diffuse in diversi Paesi, stiano conducendo le campagne nocive firmate Desert Falcons.

“Gli individui che appartengono a questo gruppo criminale sono molto determinati, attivi e in possesso di buone conoscenze tecniche, politiche e culturali. Usando solo email di phishing, l’ingegneria sociale e Backdoor e tool fatti in casa, i Desert Falcons sono stati in grado di infettare centinaia di vittime chiave in Medio Oriente tramite i loro sistemi informatici e i dispositivi mobile e di estrapolare dati sensibili. Siamo convinti che questa operazione continuerà a sviluppare Trojan e a usare tecniche sempre più avanzate. Con fondi sufficienti, potrebbero essere in grado di acquistare o sviluppare exploit che incrementerebbero l’efficienza dei loro attacchi”, ha commentato Dmitry Bestuzhev, esperto di sicurezza del Global Research and Analysis Team di Kaspersky Lab.
I prodotti di Kaspersky Lab rilevano e bloccano con successo il malware utilizzato dai Desert Falcons.