● A Desert Falcons 2011-ben kezdte a hadműveletek fejlesztését, a fő támadása és a valódi fertőzés pedig 2013 elejére tehető. Tevékenységük csúcsát 2015 elején mérték.
● A célpontok nagy többsége Egyiptomban, Palesztinában, Izraelben és Jordániában található.
● Bár a Közel-Kelet országai voltak az elsődleges célpontok, a Desert Falcons e területen kívül is támadott. Ötvennél több országban jó 3000 áldozatot ejtettek és egymilliónál is több fájl ellopásáért felelősek.
● A támadásokhoz saját rosszindulatú eszközeiket használták Windows PC- és androidos eszközökre.
● A Kaspersky Lab szakértőinek több oka is van azt feltételezni, hogy a Desert Falcons mögött álló támadók arab anyanyelvűek.
Az áldozatok között katonai és állami szervezetek is vannak – részben olyan alkalmazottak, akik a pénzmosás ellen küzdenek, valamint egészségügyi és üzleti szektorhoz tartozók, vezető médiumok; kutatási és oktatási intézmények; energetikai és közüzemi szolgáltatók; aktivisták és politikai vezetők; továbbá biztonsági cégek és egyéb olyan célpontok, amelyek fontos geopolitikai információk birtokában lehetnek. Bár a Desert Falcons tevékenysége elsősorban Egyiptomra, Palesztinára, Izraelre és Jordániára korlátozódott, számos áldozatra bukkantak Katar, Szaúd-Arábia, az Egyesült Arab Emírségek, Algéria, Libanon, Norvégia, Török-, Svéd-, Francia-, Oroszország, az Egyesült Államok és más országok területén is.
A Falcons csoport fő módszere az volt, hogy a rosszindulatú programot adathalász-oldalak segítségével terjesztették, email-en, közösségi média felületek bejegyzésein és chat-üzeneteken keresztül. Az adathalász üzenetek tartalmazták a rosszindulatú fájlokat (vagy a rájuk mutató linket) valós dokumentumnak vagy alkalmazásnak álcázva. A Desert Falcons tagjai különféle technikákat használtak arra, hogy rávegyék az áldozatokat a rosszindulatú fájlokat futtatandó. Az egyik legjellemzőbb módszer a kiterjesztést felcserélő trükk volt. Ez a módszer az Unicode egy speciális karakterét használja ki, és annak segítségével felcseréli a fájl nevének karaktereit, ezáltal a veszélyes fájl kiterjesztése a fájlnév közepére kerül, és az ártalmatlannak tűnő kiterjesztés pedig a végére. Ezzel a technikával a rosszindulatú fájl (.exe vagy .scr kiterjesztéssel) úgy tűnik föl, mint egy ártalmatlan dokumentum vagy pdf-fájl, és emiatt még az óvatosok is könnyen bedőlhetnek. Például egy olyan fájl, ami eredetileg .fdp.scr végződésű lenne, ennek segítségével .rcs.pdf lesz.
Egy áldozat sikeres megfertőzését követően egy vagy két különböző backdoor-t alkalmaznak: a fő Desert Falcons trójait, vagy a DHS backdoor-t, amelyeket látszólag a semmiből fejlesztették, és folyamatos fejlesztés alatt állnak. A Kaspersky Lab szakértői összesen több, mint 100 malware-mintát tudtak azonosítani a csoport támadásaiban.
A használt rosszindulatú eszközöknek teljes backdoor-funkciója is van, egyebek között képesek képernyőképeket készíteni, valamint a billentyűleütések rögzítésére, fájlok fel-, és letöltésére, és az áldozatok merevlemezén vagy csatolt USB-eszközén tárolt world- és excel-fájlok összes adatának összegyűjtésére. Ráadásul a Kaspersky Lab szakértői egy olyan malware nyomaira is bukkantak, amely androidos backdoor-ként képes mobilhívások és sms-naplók lopására is.
„A támadássorozat mögött állók rendkívül eltökéltek és aktívak lehetnek, valamint jó technikai, politikai és kulturális rálátással rendelkeznek. Mindössze adathalász emailekkel, pszichológiai manipulációval és backdoor-ok segítségével képesek voltak érzékeny és fontos áldozatok százait megfertőzni számítógépükön vagy mobileszközeiken keresztül a közel-keleti régióban. Arra számítunk, hogy ez az akció még több trójai fejlesztését és magasabb szintű technikák alkalmazását hívja majd elő. Elégséges finanszírozással képesek lehetnek arra, hogy megszerezzenek vagy fejlesszenek olyan biztonsági réseket, amelyek a támadásaik hatékonyságát növelné” – mondta Dmitrij Besztuzsev / Дмитрий Бестужев, a Kaspersky Lab kutató és elemző csapatának biztonsági szakértője.
A Kaspersky Lab termékei sikeresen felderítették és blokkolták a Desert Falcons malware-eit. Ha többet szeretne megtudni a támadásokról, akkor a Securelist.com oldalon tájékozódhat.
