Angriff der Wüstenfalken: Studie über erste arabische Cyberspionage-Kampagne veröffentlicht

Das Global Research and Analysis Team (GReAT) von Kaspersky Lab veröffentlichte eine Analyse einer neuen breit angelegten Cyberspionage-Kampagne, die auf den Namen Desert Falcons getauft wurde. Besonders an dieser Kampagne ist unter anderem die vermutlich arabische Herkunft der hinter den Angriffen stehenden Hacker-Gruppe.

Laut der Studie dauert die Kampagne bereits zwei Jahre an. Den Beginn der Entwicklung der von den Hackern verwendeten Tools sowie den Aufbau der Infrastruktur datieren die Experten auf das Jahr 2011, während die Spionageaktivität im Jahr 2013 begann. Der Höhepunkt der Aktivität von Desert Falcons fällt auf den Anfang des Jahres 2015.

Die Gruppe verbreitet das Schadprogramm hauptsächlich mit Hilfe von zielgerichtetem Phishing via E-Mail, Mitteilungen in sozialen Netzwerken und Chats. Die Phishing-Mitteilungen enthalten Dateien (oder Links auf diese), die als legitime Dokumente oder Anwendungen daherkommen. Um das Opfer dazu zu bringen eine Datei zu öffnen, setzt Desert Falcons eine Reihe von Betrugstechniken ein, darunter auch den Trick, einen Teil des Dateinamens zu verdrehen, so dass dem Opfer die tatsächliche Erweiterung, d.h. also der Dateityp, verborgen bleibt. Zu diesem Zweck wird in der Mitte des Dateinamens ein spezielles Unicode-Zeichen platziert, und so verwandelt sich beispielsweise die ausführbare Datei meet-record?fdp.scr in den harmlosen Dokumententyp meet-recordrcs.pdf. Interessant ist, dass Desert Falcons keine Exploits benutzt und ganz auf Social-Engineering-Methoden setzt.

Nach einer erfolgreichen Infektion installiert Desert Falcons eine von zwei Backdoors, die – nach Meinung der Experten – von der Gruppe selbst entwickelt wurden, wobei sie fortwährend weiterentwickelt werden: Im Laufe der Untersuchung der Aktivität von Desert Falcons wurden über 100 verschiedene Samples dieser Schädlinge entdeckt.

Neben der Grundfunktionalität einer Backdoor sind die Schädlinge auch in der Lage, Screenshots aufzunehmen, die Tastaturbetätigungen aufzuzeichnen, Dateien up- und downzuloaden, Informationen über alle Word- und Excel-Dateien zu sammeln, die sich auf der Festplatte eines infizierten Computers und auf angeschlossenen USB-Speichermedien befinden, Passwörter zu stehlen, die in der System-Registry gespeichert sind, und sogar Tonaufnahmen zu machen. Darüber hinaus konnten die Spezialisten von Kaspersky Lab Aktivitätsspuren eines Android-Schädlings mit der Handschrift derselben Gruppe ausfindig machen, der in der Lage ist, Anrufe und SMS abzufangen.

Unter Einsatz dieser Tools wurden mindestens drei verschiedene Malware-Kampagnen durchgeführt, die es auf verschiedene Opfer in unterschiedlichen Ländern abgesehen hatten. Insgesamt wurden mehr als 3000 Opfer in 50 Ländern ausgemacht, wobei über eine Million Dateien von den befallenen Computern gestohlen wurden. Desert Falcons richtet sein Augenmerk in erster Linie auf die folgenden Staaten: Ägypten, Palästina, Jordanien und Israel. Eine Vielzahl von Opfern wurde aber auch identifiziert in Katar, Saudi Arabien, in den Vereinigten Arabischen Emiraten, in Algerien, im Libanon, in Norwegen, der Türkei, in Schweden, Frankreich, den USA, Russland sowie in einigen anderen Ländern.

Die von Desert Falcons bevorzugten Ziele umfassen ein breites Spektrum: Militär und Regierung, Gesundheitswesen, Wirtschaft, Finanz-, Forschungs- und Bildungseinrichtungen, führende Massenmedien, Versorgungsbetriebe, Wohnungsbaugesellschaften und Security-Firmen, politische Aktivisten und Führungspersönlichkeiten sowie andere Organisationen und Personen, die Zugriff auf wichtige geopolitische Informationen haben.

„Die Leute, die hinter dieser Bedrohung stecken, sind äußerst entschlossen, aktiv und verfügen über weitreichende technische, politische und kulturelle Kompetenz“, kommentiert Dmitry Bestuzhev, Antiviren-Experte im Global Research and Analysis Team von Kaspersky Lab. „Allein mit Hilfe von Phishing-Mails, Social Engineering und selbstgemachten Tools und Backdoors hat Desert Falcons es geschafft, hunderte wichtiger Ziele im Mittleren Osten zu infizieren und wichtige Daten von ihren Computern und mobilen Geräten zu stehlen. Wir erwarten, dass diese Gruppe nicht aufhören wird, neue Trojaner zu entwickeln und noch raffiniertere Techniken einsetzen wird. Mit einer ausreichenden Finanzierung können sie Exploits kaufen oder entwickeln, die die Effizienz ihrer Angriffe noch steigern.“

In der Analyse wurde besonders darauf hingewiesen, dass die Produkte von Kaspersky Lab die von der Gruppe Desert Falcons verwendeten Schadprogramme erfolgreich erkennen und blockieren.

Quelle:        Securelist

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.