Eerste bekende Arabische cyberspionagegroep duikt op

Voor het eerst is een Arabische hackersgroep opgedoken die zich richt op het ontwikkelen en uitvoeren van grootschalige cyberspionage-operaties. De groep richt zich voornamelijk op doelwitten in het Midden-Oosten, maar heeft ook buiten deze regio slachtoffers gemaakt.

De hackersgroep is geïdentificeerd door Kaspersky Lab, die de groep de bijnaam ‘Desert Falcons’ heeft gegeven. Het beveiligingsbedrijf beschrijft de Desert Falcons als ‘een groep cyberhuurlingen die zich bezighoudt met het ontwikkelen en uitvoeren van grootschalige cyberspionage-operaties’. De aanvallers maken gebruik van zelf ontwikkelde kwaadaardige tools voor aanvallen op Windows pc's en Android-apparaten.

Al langer actief

De groep zou al minstens twee jaar actief zijn. De Desert Falcons begonnen hun activiteiten te ontwikkelen en op te bouwen in 2011, terwijl hun belangrijkste campagne en daadwerkelijke infecties in 2013 van start gingen. Het hoogtepunt van hun activiteit werd begin 2015 geregistreerd. Deskundigen van Kaspersky Lab stellen meerdere redenen te hebben om aan te nemen dat de Desert Falcons-aanvallers Arabisch als moedertaal hebben.

De Desert Falcons richten zich met hun cyberspionage-campagnes voornamelijk op doelen in Egypte, Palestina, Israël en Jordanië, waarbij in Palestina de grootste hoeveelheid infecties plaatsvonden. De groep zou echter ook buiten deze regio actief zijn. In totaal zou de groep 3.000 doelwitten hebben aangevallen in 50 landen wereldwijd. Hierbij zouden ruim een miljoen bestanden zijn gestolen. Ook in Nederland zijn slachtoffers gevallen, al staat ons land in de lijst met de laagste hoeveelheid infecties.

Doelwitten

Allerlei soorten doelwitten zijn door de groep aangevallen. Het gaat hierbij om:

• leger- en overheidsorganisaties - specifiek werknemers die verantwoordelijk zijn voor de bestrijding van het witwassen van geld, alsmede volksgezondheid en de economie;
• toonaangevende mediabedrijven;
• onderzoeks- en onderwijsinstellingen;
• energie- en nutsbedrijven;
• activisten en politieke leiders;
• fysieke beveiligingsbedrijven;
• andere doelen die in het bezit zijn van belangrijke geopolitieke informatie.

De Desert Falcons gebruiken voornamelijk spear phishing via e-mails, berichten op sociale netwerken en chatberichten om doelwitten aan te vallen en hun kwaadaardige payload af te leveren. Phishing-berichten bleken schadelijke bestanden (of een link naar schadelijke bestanden) te bevatten, vermomd als legitieme documenten of applicaties. De Desert Falcons gebruiken verschillende technieken om slachtoffers te verleiden tot het uitvoeren van de schadelijke bestanden.

Extensie in bestandsnaam verbergen

Eén van de meest specifieke technieken is de zogenaamde rechts-naar-links extensie opheffingstruc. Hierbij wordt gebruik gemaakt van een speciaal teken in Unicode om de volgorde van leestekens in een bestandsnaam om te draaien. Bestandsextensies die argwaan kunnen wekken kunnen hierdoor in het midden van de bestandsnaam worden verborgen, terwijl aan het einde van de bestandsnaam een onschuldig uitziende nep-bestandsextensie wordt geplaatst. Exe- of scr-bestanden kunnen hierdoor worden vermomd als bijvoorbeeld een onschuldig PDF-bestand. Een bestand dat eindigt op .fdp.scr komt er bijvoorbeeld uit te zien als .rcs.pdf.

Nadat het slachtoffer is geïnfecteerd gebruikt de groep één van twee backdoors: de belangrijkste Desert Falcons Trojan of de DHS backdoor. Beide lijken door de hackersgroep vanaf de grond af te zijn ontwikkeld en worden voortdurend verder ontwikkeld. Kaspersky Lab heeft in totaal ruim 100 malware samples weten identificeren die door de groep zijn gebruikt in aanvallen.

Functionaliteiten van de malware

Eenmaal binnen hebben de hackers veel mogelijkheden. De gebruikte kwaadaardige tools bieden de aanvallers allerlei functionaliteiten, waaronder:

• de mogelijkheid om screenshots te maken,
• toetsaanslagen vast te leggen,
• bestanden te uploaden/downloaden,
• informatie te verzamelen over alle Word- en Excel-bestanden op de vaste schijf of op aangesloten USB-apparaten van een slachtoffer,
• in het systeemregister opgeslagen wachtwoorden te stelen (Internet Explorer en Live Messenger),
• audio-opnamen te maken.

Kaspersky Lab-experts hebben ook sporen van malware-activiteit aangetroffen die wijzen op een Android-backdoor waarmee mobiele gesprekken en sms-logs kunnen worden gestolen. Met behulp van deze tools introduceerden en beheerden de Desert Falcons ten minste drie verschillende kwaadaardige campagnes, gericht op verschillende sets doelwitten in verschillende landen. Onderzoekers van Kaspersky Lab schatten dat ten minste 30 mensen, in drie teams verspreid over verschillende landen, de Desert Falcons malwarecampagnes uitvoeren.

‘Vastbesloten en actief’

"De personen achter deze dreigingsactor zijn zeer vastbesloten, actief en beschikken over goed technisch, politiek en cultureel inzicht. Uitsluitend gebruik makend van phishing e-mails, social engineering en zelfgemaakte tools en backdoors, slaagden de Desert Falcons er in om via hun computersystemen of mobiele apparaten honderden gevoelige en belangrijke doelwitten te infecteren in het Midden-Oosten en gevoelige gegevens te exfiltreren. Wij verwachten dat deze operatie meer Trojans zal blijven ontwikkelen en meer geavanceerde technieken zal gaan gebruiken. Met voldoende financiële middelen kunnen zij in het bezit komen van exploits of deze zelf ontwikkelen, om zo de efficiëntie van hun aanvallen te verhogen", zegt Dmitry Bestuzhev, beveiligingsdeskundige bij het Global Research and Analysis Team van Kaspersky Lab.