U lovu na Pustinjske sokolove – prva poznata arapska špijunska grupa napada na hiljade žrtava širom sveta

19. februar 2015

Globalni istraživački i analitički tim kompanije Kaspersky Lab otkrio je Pustinjske sokolove – sajber špijunsku grupu koja napada brojne organizacije i pojedince visokog profila iz zemalja Srednjeg Istoka. Stručnjaci kompanije Kaspersky Lab smatraju da je ovaj akter prva poznata arapska grupa sajber zločinaca koja razvija i izvršava sajber špijunske operacije u celosti.

  • Kampanja je aktivna poslednje dve godine. Pustinjski sokolovi su počeli da razvijaju i grade svoju operaciju 2011. godine, a sa glavnom kampanjom i pravom zarazom su počeli 2013. godine. Vrhunac njihove aktivnosti zabeležen je početkom 2015;

  • Velika većina meta nalazi se u Egiptu, Palestini, Izraelu i Jordanu;

  • Osim zemalja Srednjeg istoka koje su bili prvobitne mete, Pustinjski sokolovi takođe love van ove teritorije. Uspeli su da napadnu ukupno više od 3000 žrtava u više od 50 zemalja sveta i ukradu više od milion fajlova;

  • Napadači koriste vlasničke zloćudne alate za napade na računare sa Windows sistemom i uređaje sa Android sistemom;

  • Stručnjaci kompanije Kaspersky Lab smatraju da je napadačima grupe Pustinjski sokolovi maternji jezik arapski.

Na spisku napadnutih žrtava nalaze se vojne i vladine organizacije – posebno zaposleni odgovorni za borbu protiv pranja novca, kao i zaposleni u zdravstvu i ekonomiji, kod vodećoh medijskih emitera, u istraživačkim i obrazovnim institucijama, pri energetici i komunalnim uslugama, zatim aktivisti i politički lideri, preduzeća koje se bave fizičkom bezbednošću i druge mete koje imaju važne geopolitičke informacije. Stručnjaci kompanije Kaspersky Lab su uspeli da pronađu ukupno više od 3000 žrtava u više od 50 zemalja, od kojih je ukradeno više od million fajlova. Iako su glavni fokus Pustinjskih sokolova izgleda bile zemlje kao što su Egipat, Palestina, Izrael i Jordan, mnogobrojne žrtve su takođe pronađene u Kataru, Saudijskoj Arabiji, Ujedinjenim Arapskim Emiratima, Libanu, Turskoj, Norveškoj, Švedskoj, Francuskoj, SAD-u, Rusiji i drugim zemljama.

Isporučiti, zaraziti, špijunirati

Kao glavnu metodu za prenošenje zloćudnog softvera, Sokolovi koriste tehniku „spir fišinga” preko mejlova, postova na društvenim mrežama i čet poruka. Fišing poruke sadrže zloćudne fajlove (ili link ka njima) koji su zamaskirani kao legitimna dokumenta ili aplikacije. Pustinjski sokolovi koriste nekoliko tehnika da privole žrtve da pokrenu zloćudne fajlove. Jedna od najspecifičnijih tehnika je takozvani trik premeštanja ekstenzije.

Ovom metodom se iskorišćava poseban karakter u standardu Unikod kako bi se obrnuo redosled karaktera u imenu fajla, čime se sakriva opasna ekstenzija u sredini imena fajla i postavlja naizgled bezazlena lažna ekstenzija blizu zavšetka imena fajla. Korišćenjem ove tehnike, zloćudni fajlovi (koji se završavaju sa .exe ili .scr) izgledaju kao bezazleni fajlovi tipa .doc ili .pdf. Čak i oprezni korisnici sa dobrim tehničkim znanjem mogu da se prevare i otvore ove fajlove. Npr. fajl koji se završava sa .fdp.scr će izgledati kao .rcs.pdf.

Posle uspešne zaraze žrtve, Pustinjski sokolovi će iskoristiti jedan od dva različita „zadnja izlaza”: čini se da su i glavni Trojanac ove grupe i DHS Backdoor razvijani od nule i da ih stalno unapređuju. Stručnjaci kompanije Kaspersky Lab su uspeli da identifikuju ukupno više od 100 uzoraka zloćudnih softvera koje grupa koristi u svojim napadima.

Zloćudni alati koje koriste u potpunosti funkcionišu kao „zadnji izlaz”, uključujući sposobnost da preuzimaju skrinšotove, ukucane karaktere, da postavljaju/ preuzimaju fajlove, prikupe informacije o svim Word i Excel fajlovima na hard disku ili povezanom USB uređaju žrtve, da kradu šifre skladištene u registru sistema (npr. u pretraživaču Internet Explorer ili live Messenger) i prave audio snimke. Stručnjaci kompanije Kaspersky Lab su takođe uspeli da pronađu tragove aktivnosti malvera koji je izgleda Android „zadnji izlaz” sposoban da ukrade podatke o pozivima i SMS-ovima.

Korišćenjem ovih alata, Pustinjski sokolovi su pokrenuli i vodili najmanje tri različite zloćudne kampanje koje su imale za cilj različite grupe žrtava u različitim državama.

Jato sokolova u lovu na tajne

Stručnjaci kompanije Kaspersky Lab procenjuju da najmanje 30 ljudi organizovano u tri tima u različitim zemljama rukovodi špijunskom kampanjom „Pustinjsi sokolovi“.

Pojedinci koje stoje iza ovog pretećeg aktera su veoma odlučni, aktivni i sa dobrim tehničkim, političkim i kulturnim znanjem. Korišćenjem samo fišing mejlova, socijalnog inženjeringa, alata iz kućne radinosti i „zadnjih izlaza”, Pustinjski sokolovi su uspeli da zaraze na stotine osetljivih i važnih žrtava u oblasti Srednjeg istoka preko svojih računarskih sistema ili mobilnih uređaja, i preuzmu osetljive podatke. Očekujemo da će se tokom ove operacije razviti još Trojanaca i koristiti naprednije tehnike. Uz dovoljno finansiranja, mogli bi da nabave ili razviju načine kojima će povećati efikasnost svojih napada”, kaže Dimitri Bestužev, stručnjak za bezbednost Globalnog istraživačkog i analitičkog tima kompanije Kaspersky Lab.

Proizvodi kompanije Kaspersky Lab uspešno otkrivaju i blokiraju zloćudne softvere koje koriste preteći akteri grupe Pustinjski sokolovi.

Više o kampanji možete da pročitate na Securelist.com.

newsmaster