Home . Immediapress . Ict . A caccia dei Desert Falcons - il primo gruppo arabo conosciuto di cyberspionaggio che colpisce migliaia di vittime in tutto il mondo

A caccia dei Desert Falcons - il primo gruppo arabo conosciuto di cyberspionaggio che colpisce migliaia di vittime in tutto il mondo

ICT
A caccia dei Desert Falcons - il primo gruppo arabo conosciuto di cyberspionaggio che colpisce migliaia di vittime in tutto il mondo

Il Global Research and Analysis Team di Kaspersky Lab ha scoperto Desert Falcons, un gruppo di spionaggio informatico del Medio Oriente che prende di mira molte organizzazioni e individui di alto profilo. Gli esperti di kaspersky Lab considerano questo gruppo la prima cellula conosciuta di cybermercenari arabi ad aver sviluppato e avviato operazioni di spionaggio informatico su vasta scala.

- La campagna è stata attiva per almeno due anni. I Desert Falcons hanno iniziato a progettare la loro operazione nel 2011, mentre la campagna principale e la vera infezione sono iniziate nel 2013. Il picco della loro attività è stato registrato all’inizio del 2015;

- La grande maggioranza degli obiettivi è situata in Egitto, Palestina, Israele e Giordania;

- Oltre ai Paesi del Medio Oriente, che hanno costituito i primi obiettivi, i Desert Falcons colpiscono anche al di fuori del territorio. Nel complesso, sono stati in grado di attaccare più di 3.000 vittime in più di 50 Paesi in tutto il mondo, rubando più di un milione di file;

- I criminali usano tool nocivi proprietari sviluppati per attaccare PC Windows e dispositivi basati su Android;

- Gli esperti di Kaspersky Lab hanno molte ragioni per credere che i criminali dietro a Desert Falcons siano madrelingua arabi.

L'elenco delle vittime colpite include organizzazioni militari e di governo (specialmente impiegati coinvolti nella lotta al riciclaggio di denaro, oltre che addetti ai settori della salute e dell’economia); i principali media; istituti di ricerca ed educazione; fornitori di energia e gestori di rete; attivisti e leader politici; aziende di sicurezza fisica; e altri obiettivi in possesso di importanti informazioni geopolitiche. In totale, gli esperti di Kaspersky Lab sono stati in grado di trovare tracce di più di 3.000 vittime in più di 50 Paesi, con più di un milione di file rubati. Sebbene gli obiettivi principali dell’attività dei Desert Falcons sembrino essere in Paesi come Egitto, Palestina, Israele e Giordania, sono state trovate molte vittime anche in Qatar, Arabia Saudita, Emirati Arabi Uniti, Algeria, Libano, Norvegia, Turchia, Svezia, Francia, Stati Uniti, Russia e altri ancora.

Consegna, infetta, spia

Il principale metodo usato dai Falcons per consegnare il payload nocivo è lo spear phishing tramite email, post nei social network e messaggi in chat. I messaggi di phishing contenevano file nocivi (o un link ad essi) mascherati da applicazioni o documenti legittimi. I Desert Falcons usano diverse tecniche per indurre le vittime ad avviare i file maligni. Una delle tecniche più specifiche è il cosiddetto trucco del “right-to-left override” (RLO) dell’estensione.

Questo metodo sfrutta uno speciale carattere Unicode che serve a invertire l’ordine dei caratteri del nome di un file, nascondendo l’estensione pericolosa del file stesso al centro del suo nome e posizionando un’estensione falsa e apparentemente innocua alla fine del nome del file. Usando questa tecnica, i file nocivi (.exe, .scr) sembreranno innocui documenti o file pdf e anche gli utenti scrupolosi con buone conoscenze tecniche potranno essere indotta ad aprirli. Ad esempio, un file che termina in .fdp.scr apparirebbe come .rcs.pdf.

Dopo aver infettato una vittima, i Desert Falcons usano una Backdoor tra le due seguenti: il loro Trojan principale o la Backdoor DHS, entrambi apparentemente sorti dal nulla e sono in continuo sviluppo. Gli esperti di Kaspersky Lab sono stati in grado di identificare un totale di più di 100 campioni di malware usati dal gruppo per i suoi attacchi.

I tool nocivi utilizzati hanno tutte le funzionalità di una Backdoor, inclusa la capacità di effettuare screenshot, registrare i tasti digitati, eseguire upload e download di file, raccogliere informazioni su tutti i file Word ed Excel sull’Hard Disk della vittima o su dispositivi USB collegati, rubare le password archiviate nel registro di sistema (Internet Explorer e Live Messenger) e fare registrazioni audio. Gli esperti di Kaspersky Lab sono stati anche in grado di trovare tracce di attività di un malware che sembra essere una Backdoor Android in grado di rubare chiamate e SMS.

Usando questi tool, i Desert Falcons hanno lanciato e gestito almeno tre diverse campagne nocive che hanno preso di mira diversi gruppi di vittime in diversi Paesi.

Uno stormo di "falchi" a caccia di segreti

I ricercatori di Kaspersky Lab stimano che almeno 30 persone, divise in tre gruppi, diffuse in diversi Paesi, stiano conducendo le campagne nocive firmate Desert Falcons.

“Gli individui che appartengono a questo gruppo criminale sono molto determinati, attivi e in possesso di buone conoscenze tecniche, politiche e culturali. Usando solo email di phishing, l’ingegneria sociale e Backdoor e tool fatti in casa, i Desert Falcons sono stati in grado di infettare centinaia di vittime chiave in Medio Oriente tramite i loro sistemi informatici e i dispositivi mobile e di estrapolare dati sensibili. Siamo convinti che questa operazione continuerà a sviluppare Trojan e a usare tecniche sempre più avanzate. Con fondi sufficienti, potrebbero essere in grado di acquistare o sviluppare exploit che incrementerebbero l’efficienza dei loro attacchi”, ha commentato Dmitry Bestuzhev, esperto di sicurezza del Global Research and Analysis Team di Kaspersky Lab.

I prodotti di Kaspersky Lab rilevano e bloccano con successo il malware utilizzato dai Desert Falcons.

Per ulteriori informazioni sulla campagna visitare http://securelist.com/blog/research/68817/the-desert-falcons-targeted-attacks/

Informazioni su Kaspersky Lab

Kaspersky Lab è la più grande azienda privata del mondo che produce e commercializza soluzioni di sicurezza per gli endpoint. L’azienda si posiziona tra i primi quattro vendor al mondo in questo mercato*. Nel corso dei suoi 17 anni di storia, Kaspersky Lab è stata un pioniere nella sicurezza IT, offrendo al mercato soluzioni di sicurezza IT per la protezione di utenti finali, Piccole e Medie Imprese e grandi aziende. Kaspersky Lab, la cui holding è registrata in Gran Bretagna, opera in 200 paesi e protegge oltre 400 milioni di clienti in tutto il mondo.

Per ulteriori informazioni: www.kaspersky.com/it.

* L’azienda si è posizionata al quarto posto nel, 2013 di IDC. La classifica è stata pubblicata nel report IDC Worldwide Endpoint Security 2014-2018 Forecast and 2013 Vendor Shares (IDC #250210, Agosto 2014).). Il report ha classificato i vendor software

Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/

Seguici su:

Twitter: https://twitter.com/KasperskyLabIT

Facebook: http://www.facebook.com/kasperskylabitalia

Google Plus: https://plus.google.com/u/0/b/110369116315123340458/110369116315123340458/posts

Commenti
Per scrivere un commento è necessario registrarsi ed accedere: ACCEDI oppure REGISTRATI