Ir para o conteúdo principal

Cancun, Mexico, 17 de Fevereiro de 2015

A Equipe de Pesquisa e Análise Global da Kaspersky Lab descobriu um grupo chamado de “Desert Falcons” – responsável por ataques de ciberespionagem que contra múltiplas organizações e indivíduos de perfil elevado em países do Oriente Médio. Os especialistas da Kaspersky Lab consideram este ator como o primeiro grupo árabe de cibermercenários conhecido por desenvolver e colocar em andamento operações de ciberespionagem em grande escala.

  • A campanha esteve ativa por pelo menos dois anos. Os Desert Falcons começaram a desenvolver e construir sua operação em 2011, com sua campanha principal e infecção iniciada em 2013. O pico de sua atividade foi registrado no início de 2015;
  • A maioria dos alvos está baseada no Egito, Palestina, Israel e Jordânia;
  • Além de concentrarem nos países do Oriente Médio como seus alvos iniciais, os Desert Falcons também estão caçando fora dessa região. No total, eles foram capazes de atacar mais de 3.000 vítimas em mais de 50 países, com cerca de um milhão de arquivos roubados.
  • Os atacantes utilizam ferramentas proprietárias maliciosas para ataques PCs com Windows e dispositivos com o sistema operacional Android;
  • Os especialistas da Kaspersky Lab têm múltiplas razões para acreditar que os atacantes por trás dos Desert Falcons são falantes nativos em árabe.

A lista de vítimas incluem organizações militares e governamentais – particularmente empregados responsáveis pelo combate de lavagem de dinheiro, assim como os sistemas de saúde e de economia, meios de comunicação líderes; instituições de pesquisa e educação; fornecedores de energia e serviços; ativistas e líderes políticos; empresas de segurança física; e outros alvos que possuam informações geopolíticas importantes. No total, os especialistas da Kaspersky Lab foram capazes de encontrar sinais de mais de 3.000 vítimas em mais de 50 países, com mais de um milhão de arquivos roubados. Ainda que o foco principal da atividade dos Desert Falcons parece estar em países como Egito, Palestina, Israel e Jordânia, foram encontradas múltiplas vitimas no Qatar, Arábia Saudita, Emirados Árabes Unidos, Argélia, Líbano, Noruega, Turquia, Suécia, França, Estados Unidos, Rússia e outros países.

Transmita, Infecte, Espione

O principal método usado pelos Falcons para transmitir o payload malicioso são ataques de spear phishing via e-mails, posts em redes de mídias sociais e mensagens de chats. As mensagens de phishing contêm arquivos maliciosos (ou um link para arquivos maliciosos) mascarados como documentos ou aplicações legítimas. Os Desert Falcons usam várias técnicas para seduzir as vítimas para abrir os arquivos maliciosos. Uma das técnicas mais específicas é o chamado “right to left override” (RTLO).

Este método tira vantagem de um caractere especial em UNICODE para reverter a ordem dos caracteres do nome de um arquivo. Desse modo, ele esconde a extensão perigosa no meio do nome do arquivo, e colocando uma extensão falsa, aparentemente inofensiva, próximo ao final do nome do arquivo. Usando essa técnica, arquivos maliciosos (.exe, .scr) irão parecer como um arquivo de documento ou PDF inofensivo; e mesmo usuários cuidadosos, com bom conhecimento técnico, podem ser levados a abrir esses arquivos. Por exemplo, um arquivo que termine como .cod..scr apareceria como .rcs.doc

Após a infecção de uma vítima, os Desert Falcons usariam um de dois Backdoors diferentes: o Cavalo de Troia principal do grupo ou o DHS Backdoor, na qual ambos parecem ter se desenvolvido a partir do zero e que estão em desenvolvimento contínuo. Os especialistas da Kaspersky Lab puderam identificar um total de mais de 100 amostras desse malware usadas pelo grupo em seus ataques.

As ferramentas maliciosas usadas têm funcionalidade Backdoor , incluindo a habilidade de tirar screenshots, logar teclas digitadas, fazer upload/download de arquivos, coletar informação sobre todos os arquivos de Word e Excel do disco rígido ou de dispositivos USB conectados de uma vítima, roubar senhas armazenados no registro do sistema (Internet Explorer e Messenger) e fazer gravações de áudio. Os especialistas da Kaspersky Lab também foram capazes de encontrar traços de atividade de um malware que parece ser um backdoor do sistema Android capaz de roubar logs de chamadas e SMSs de celulares.

Usando essas ferramentas, os Desert Falcons lançaram e gerenciaram pelo menos três campanhas maliciosas diferentes, escolhendo diferentes grupos de vítimas em diferentes países.

Um grupo de Falcons na caça de segredos

Os pesquisadores da Kaspersky Lab estimam que pelo menos 30 pessoas em três equipes, espalhados através de diferentes países, estão operando as campanhas de malware dos Desert Falcons.

“Os indivíduos por trás dessa ameaça são altamente determinados, ativos e com bom conhecimento técnico, político e cultural. Usando apenas e-mails de phishing, engenharia social,ferramentas e backdoors feitos em casa, os Desert Falcons foram capazes de infectar centenas de vítimas importantes e suscetíveis na região do Oriente Médio, através de seus sistemas de computadores ou dispositivos móveis, para assim roubar dados sensíveis. É esperado que essa operação continue desenvolvendo mais Cavalos de Troia e a usar técnicas mais avançadas. Com financiamento suficiente, eles poderiam adquirir ou desenvolver exploits que aumentariam a eficiência de seus ataques”, disse Dmitry Bestuzhev, especialista de segurança na Equipe de Pesquisa e Análise Global da Kaspersky Lab.

Os produtos da Kaspersky Lab detectam e bloqueiam com sucesso o malware usado pelos Desert Falcons.

Leia mais sobre a campanha em Securelist.com.

Caçando os “Desert Falcons” – o primeiro grupo Árabe de Ciberespionagem conhecido ataca milhares de vítimas globalmente

A Equipe de Pesquisa e Análise Global da Kaspersky Lab descobriu um grupo chamado de “Desert Falcons” – responsável por ataques de ciberespionagem que contra múltiplas organizações e indivíduos de perfil elevado em países do Oriente Médio.
Kaspersky Logo