aus dem arabischen Raum enttarnen, die offenbar über das komplette Spektrum von Cyberspionagemitteln verfügt. Die Gruppe startete ihre Aktivitäten bereits im Jahr 2011, seit dem Jahr 2013 werden Rechner infiziert. Den Experten von Kaspersky Lab zufolge erreichte die Kampagne ihren Höhepunkt zu Beginn des Jahres 2015.
Auf der Liste der Opfer stehen Verteidigungs- und Regierungsinstitutionen, speziell deren Mitarbeiter in den Abteilungen zur Aufdeckung von Geldwäsche, für Gesundheit oder auch Wirtschaft. Betroffen sind weiterhin führende Medienkonzerne, Institutionen aus Forschung und Bildung, Energie- und Infrastrukturdienstleister, Aktivisten und hochrangige Politiker, Sicherheitsfirmen für Objektschutz und weitere Ziele, die in Besitz wichtiger geopolitischer Informationen sein dürften.
Die Kaspersky Lab vorliegenden Informationen weisen auf über 3.000 Opfer in mehr als 50 Ländern hin, denen über eine Million Dateien gestohlen wurden. Offenbar liegt das Operationsfeld der Gruppe hauptsächlich in den Ländern Ägypten, Palästina, Israel und Jordanien. Betroffene finden sich aber auch in Katar, Saudi-Arabien, den Vereinigten Arabischen Emiraten, Algerien, dem Libanon, in Norwegen, der Türkei, in Schweden, Frankreich, den USA, sowie in Russland und weiteren Staaten.
Die Gruppe nutzt selbstentwickelte schadhafte Werkzeuge und attackiert damit Windows-PCs sowie mobile Geräte mit Android-Betriebssystem. Kaspersky Lab geht aufgrund mehrerer Hinweise davon aus, dass es sich bei Desert Falcons um eine Gruppe arabisch-sprechender Personen handelt.
Anwender mittels RTLO ausgetrickst
Zur Verbreitung ihrer Malware setzt Desert Falcons vor allem auf Spear-Phishing. Die Opfer werden dabei via E-Mail, Soziales Netzwerk oder Chat kontaktiert. Die Mitteilungen enthalten schadhafte Dateien oder Links darauf und sind als harmlose Dokumente oder legitime Anwendungen getarnt.
Um die Adressaten zur Ausführungen der Schadprogramme zu verleiten, werden diverse Techniken genutzt, darunter auch die sogenannte RTLO-Methode (Right-to-left extension override). Dafür wird eine spezielle Unicode-Eigenschaft ausgenutzt, mit der man die Reihenfolge der Zeichen in einem Dateinamen vertauschen kann. Endungen wie „.exe“ oder „.scr“, die auf potenziell gefährliche Dateien schließen lassen, verschieben sich dabei in die Mitte des Dateinamens. Harmlose Endungen stehen dafür an letzter Stelle. Zum Beispiel wird ein Dateiname, der auf „.fdp.scr“ endet, als „.rcs.pdf“ dargestellt. Auch technisch versierte Anwender lassen sich davon leicht täuschen.
Backdoors mit umfassenden Spionage-Tools
Einmal infiziert nutzt Desert Falcons auf den Geräten der Opfer zwei unterschiedliche Backdoors. Neben dem hauptsächlich verwendeten Trojaner wird auch das DHS-Backdoor eingesetzt. Kaspersky Lab geht davon aus, dass in beiden Fällen die Schadsoftware komplett neu erstellt wurde und ständig weiterentwickelt wird. Bislang wurden bei der Analyse der Angriffe über 100 verschiedene Schadsamples von Desert Falcons gefunden.
Die Malware verfügt über volle Backdoor-Möglichkeiten wie das Erstellen von Screenshots, das Aufzeichnen von Tastaturanschlägen, Up- und -Downloads von Dateien, das Sammeln von Informationen über alle Word- und Excel-Dateien auf Festplatte und angeschlossenen USB-Wechseldatenträgern, den Zugriff auf die Passwörter, die in der Registry des Systems gespeichert sind (Internet Explorer und Live Messenger) sowie Audio-Aufzeichnungen. Zudem fanden die Experten von Kaspersky Lab Hinweise auf eine Android-Backdoor zum Abhören von Gesprächen und SMS-Mitteilungen auf mobilen Geräten.
Desert Falcons auf der Jagd nach Geheimnissen
Mit den beschriebenen Techniken hat die Desert Falcons-Gruppe bereits mindestens drei Kampagnen gegen unterschiedliche Opfer aus verschiedenen Ländern durchgeführt. Kaspersky Lab geht davon aus, dass hinter Desert Falcons mindestens 30 Personen stehen, die in drei multinationalen Teams operieren.
Die Sicherheitssoftware von Kaspersky Lab erkennt und blockiert zuverlässig alle Schadsoftware, die von Desert Falcons ausgeht.
Auf der Liste der Opfer stehen Verteidigungs- und Regierungsinstitutionen, speziell deren Mitarbeiter in den Abteilungen zur Aufdeckung von Geldwäsche, für Gesundheit oder auch Wirtschaft. Betroffen sind weiterhin führende Medienkonzerne, Institutionen aus Forschung und Bildung, Energie- und Infrastrukturdienstleister, Aktivisten und hochrangige Politiker, Sicherheitsfirmen für Objektschutz und weitere Ziele, die in Besitz wichtiger geopolitischer Informationen sein dürften.
Die Kaspersky Lab vorliegenden Informationen weisen auf über 3.000 Opfer in mehr als 50 Ländern hin, denen über eine Million Dateien gestohlen wurden. Offenbar liegt das Operationsfeld der Gruppe hauptsächlich in den Ländern Ägypten, Palästina, Israel und Jordanien. Betroffene finden sich aber auch in Katar, Saudi-Arabien, den Vereinigten Arabischen Emiraten, Algerien, dem Libanon, in Norwegen, der Türkei, in Schweden, Frankreich, den USA, sowie in Russland und weiteren Staaten.
Die Gruppe nutzt selbstentwickelte schadhafte Werkzeuge und attackiert damit Windows-PCs sowie mobile Geräte mit Android-Betriebssystem. Kaspersky Lab geht aufgrund mehrerer Hinweise davon aus, dass es sich bei Desert Falcons um eine Gruppe arabisch-sprechender Personen handelt.
Anwender mittels RTLO ausgetrickst
Zur Verbreitung ihrer Malware setzt Desert Falcons vor allem auf Spear-Phishing. Die Opfer werden dabei via E-Mail, Soziales Netzwerk oder Chat kontaktiert. Die Mitteilungen enthalten schadhafte Dateien oder Links darauf und sind als harmlose Dokumente oder legitime Anwendungen getarnt.
Um die Adressaten zur Ausführungen der Schadprogramme zu verleiten, werden diverse Techniken genutzt, darunter auch die sogenannte RTLO-Methode (Right-to-left extension override). Dafür wird eine spezielle Unicode-Eigenschaft ausgenutzt, mit der man die Reihenfolge der Zeichen in einem Dateinamen vertauschen kann. Endungen wie „.exe“ oder „.scr“, die auf potenziell gefährliche Dateien schließen lassen, verschieben sich dabei in die Mitte des Dateinamens. Harmlose Endungen stehen dafür an letzter Stelle. Zum Beispiel wird ein Dateiname, der auf „.fdp.scr“ endet, als „.rcs.pdf“ dargestellt. Auch technisch versierte Anwender lassen sich davon leicht täuschen.
Backdoors mit umfassenden Spionage-Tools
Einmal infiziert nutzt Desert Falcons auf den Geräten der Opfer zwei unterschiedliche Backdoors. Neben dem hauptsächlich verwendeten Trojaner wird auch das DHS-Backdoor eingesetzt. Kaspersky Lab geht davon aus, dass in beiden Fällen die Schadsoftware komplett neu erstellt wurde und ständig weiterentwickelt wird. Bislang wurden bei der Analyse der Angriffe über 100 verschiedene Schadsamples von Desert Falcons gefunden.
Die Malware verfügt über volle Backdoor-Möglichkeiten wie das Erstellen von Screenshots, das Aufzeichnen von Tastaturanschlägen, Up- und -Downloads von Dateien, das Sammeln von Informationen über alle Word- und Excel-Dateien auf Festplatte und angeschlossenen USB-Wechseldatenträgern, den Zugriff auf die Passwörter, die in der Registry des Systems gespeichert sind (Internet Explorer und Live Messenger) sowie Audio-Aufzeichnungen. Zudem fanden die Experten von Kaspersky Lab Hinweise auf eine Android-Backdoor zum Abhören von Gesprächen und SMS-Mitteilungen auf mobilen Geräten.
Desert Falcons auf der Jagd nach Geheimnissen
Mit den beschriebenen Techniken hat die Desert Falcons-Gruppe bereits mindestens drei Kampagnen gegen unterschiedliche Opfer aus verschiedenen Ländern durchgeführt. Kaspersky Lab geht davon aus, dass hinter Desert Falcons mindestens 30 Personen stehen, die in drei multinationalen Teams operieren.
Die Sicherheitssoftware von Kaspersky Lab erkennt und blockiert zuverlässig alle Schadsoftware, die von Desert Falcons ausgeht.
