Hihetetlen trükkel veri át a világot egy arab hackercsoport

A Kaspersky Lab globális kutató és elemző csapata (GReAT) felfedte a Desert Falcons-t, egy olyan kiberkémekből álló csoportosulást, amely elsősorban a Közel-Kelet szervezeteit célozza, de független személyek is vannak az áldozataik között. A szakértők szerint több ok is van azt feltételezni, hogy a Desert Falcons mögött álló támadók arab anyanyelvűek, ezért őket tekintik az első ismert arab csoportnak, amely kiber-zsoldosaival teljeskörű kiberkémkedési műveleteket fejleszt és hajt végre. A Desert Falcons 2011-ben kezdte a cyberhadműveleteket, a fő támadásuk és a valódi fertőzés pedig 2013 elejére tehető, míg tevékenységük csúcsát 2015 elején mérték. Bár a Desert Falcons tevékenysége elsősorban Egyiptomra, Palesztinára, Izraelre és Jordániára korlátozódott, számos áldozatra bukkantak Katar, Szaúd-Arábia, az Egyesült Arab Emírségek, Algéria, Libanon, Norvégia, Törökország, Svédország, Franciaország, az Egyesült Államok, Oroszország, és más országok területén is. Összesen több, mint öven országban háromezernél is több áldozatot ejtettek és egymilliónál is több fájl ellopásáért felelősek. A támadásokhoz saját rosszindulatú eszközeiket használták windows-os számítógépekre és androidos eszközökre.

A Desert Falcons tagjai különböző technikákat használtak arra, hogy rávegyék az áldozatokat, hogy a rosszindulatú fájlokat futtassák. Az egyik legjellemzőbb módszer az úgynevezett kiterjesztést felcserélő trükk volt. Ez a módszer az Unicode egy speciális karakterét használja ki, és annak segítségével felcseréli a fájl nevének karaktereit, ezáltal a veszélyes fájl kiterjesztése a fájlnév közepére kerül, és az ártalmatlannak tűnő kiterjesztés pedig a végére. Ezzel a technikával a rosszindulatú fájl (.exe vagy .scr kiterjesztéssel) úgy tűnik, mint egy ártalmatlan dokumentum vagy pdf fájl, és emiatt még az óvatos felhasználók is könnyen bedőlhetnek. Például egy olyan fájl, ami eredetileg .fdp.scr végződésű lenne, ennek segítségével .rcs.pdf lesz. Egy áldozat sikeres megfertőzését követően egy vagy két különböző backdoor-t alkalmaznak: a fő Desert Falcons trójait, vagy a DHS backdoor-t, amelyeket látszólag a semmiből fejlesztették, és folyamatos fejlesztés alatt állnak. A Kaspersky Lab szakértői összesen több, mint száz malware mintát tudtak azonosítani a csoport támadásaiban.