Сокол в пустыне: кибершпионская кампания на Ближнем Востоке коснулась более чем полусотни стран мира
«Лаборатории Касперского» удалось раскрыть первую из широко известных кампаний кибершпионажа, имеющую арабское происхождение, чей основной удар был направлен на важные стратегически организации, расположенные в государствах Ближнего Востока. Более всего число жертв данной операции, названной Desert Falcons, было зарегистрировано в Палестине, на территории Египта, Израиля и Иордании, но немалое число пострадавших имеется и в иных странах, и в России в том числе. В целом, арабским кибернаемникам удалось атаковать свыше 3 000 пользователей из более чем полусотни стран, украв при этом свыше миллиона файлов.
Кибернападения обрушились на правительственные учреждения, в особенности компьютеры тех их сотрудников, которые несут ответственность за предотвращение «отмывания» денежных средств, а кроме того, занимаются вопросами экономического развития и здравоохранения. Целью киберпреступников были также значиме СМИ, военные ведомства, образовательные и исследовательские учреждения, политические лидеры, энергетические компании вкупе с коммунальными предприятиями, охранные агентства, а кроме того, ряд иных организаций, что владеют важной в геополитическом плане информацией.
Кибершпионская кампания Desert Falcons в активной фазе пребывает как минимум два года. Невзирая на тот факт, что первые её атаки фиксировались еще в 2013-цатом году, к разработке, а также детальному планированию кибероперации кибермошенники приступили еще в далеком 2011-цатом. Пик активности кампании пришелся на январь-месяц 2015-цатого года.
Экспертами «Лаборатории Касперского» сделано предположение, что организаторами интернет-атак являются хакеры из арабских стран: группа, в которую входит порядка 30 человек разделена на три команды, ведущие свою деятельность в различных государствах.
Основной способ доставки вредонесущего ПО на пользовательские компьютеры - это целевой фишинг. Хакеры Desert Falcons шлют потенциальным жертвам электронные сообщения с вредонесущими вложениями, либо ссылками по е-мейл, в соцсетях или чатах. Естественно, киберпреступники ловко маскируют зловреды под вполне легитимные приложения. В частности, они применяют специальный прием, который позволяет изменять порядок символов в файловом названии на обратный, за счет чего файловое расширение, которое очевидно указывает на вредонесущую программу (.scr или .exe), оказывается посередине названия, в конце же появляется символьный набор, характерный для вполне безобидного ПО. К примеру, файл, название которого заканчивается на .fdp.scr, прошедший подобную обработку, приобретает вид .rcs.pdf.
Если заражение компьютера жертвы состоялось, атакующие либо используют основной Desert Falcons - «рабочий» троянец, либо DHS бэкдор. И тот, и другой зловреды создавались киберпреступниками «с нуля» и до настоящего времени пребывают в процессе непрестанной доработки. Экспертам «Лаборатории Касперского» удалось выявить более сотни различных образцов вредонесущего ПО, которое использовали злоумышленники при осуществлении этой операции. При их помощи хакеры делают скриншоты экранов, перехватывают клавишные нажатия, загружают, а также скачивают файлы, тщательно собирают сведения обо всех присутствующих на компьютере файлах, находящихся в форматах Excel и Word, крадут пароли. Помимо того, были обнаружены следы активности вредонесущего ПО, по своему функционалу напоминающего бэкдор для ОС Android, способный красть информацию о совершенных с мобильника звонках и посланных SMS.
По словам Дмитрия Бестужева, ведущего антивирусного эксперта «Лаборатории Касперского», организаторы данной кампании кибершпионажа отличаются крайней целеустремленностью и активностью, имеют отличную техническую подготовку и хорошо понимают культурную и политическую ситуацию. Имея в собственном арсенале только фишинговые приемы, социнженерию и самодельные зловреды, им удалось заразить многие сотни компьютеров вкупе с мобильными устройствами на Ближнем Востоке, заполучив ценную информацию. В компании предполагают, что операция по ведению кибершпионажа Desert Falcons развиваться будет и дальше, причем, ее организаторы постепенно станут совершенствовать собственные методы и инструменты. К примеру, при достаточности финансовой поддержки они смогут приобрести или же создать эксплойты, после чего эффективность предпринимаемых ими атак возрастет.
Выпускаемые «Лаборатории Касперского» продукты выявляют и оперативно блокируют все вредонесущие программы, которые используются в кампании Desert Falcons.
Источник: www.kaspersky.ru