Перейти к основному разделу

Сокол в пустыне: кампания кибершпионажа на Ближнем Востоке затронула более 50 стран во всем мире

18 февраля 2015 г.

«Лаборатория Касперского» раскрыла первую из известных кампанию кибершпионажа арабского происхождения, основной удар которой направлен на стратегически важные организации в странах Ближнего Востока.

«Лаборатория Касперского» раскрыла первую из известных кампанию кибершпионажа арабского происхождения, основной удар которой направлен на стратегически важные организации в странах Ближнего Востока. Наибольшее число жертв операции, получившей название Desert Falcons, зарегистрировано в Египте, Палестине, Израиле и Иордании, однако немало пострадавших есть и в других странах, в том числе в России. В общей сложности арабские кибернаемники атаковали более 3 тысяч пользователей в 50 с лишним странах и украли свыше миллиона файлов.

Кибернападениям подверглись правительственные учреждения, особенно те их сотрудники, которые отвечают за предотвращение отмывания денег, а также занимаются вопросами здравоохранения и экономического развития. Целью киберпреступников стали также военные ведомства, ведущие СМИ, исследовательские и образовательные учреждения, энергетические компании и коммунальные предприятия, активисты и политические лидеры, охранные агентства, а также ряд других организаций, владеющих важной геополитической информацией.  

Кампания кибершпионажа Desert Falcons находится в активной фазе по меньшей мере два года. Несмотря на то что первые атаки были зафиксированы в 2013 году, к разработке и планированию кибероперации злоумышленники приступили еще в 2011-м. Пик активности Desert Falcons пришелся на начало 2015 года.

Эксперты «Лаборатории Касперского» предполагают, что организаторами атак являются хакеры арабского происхождения: группа из приблизительно 30 человек разбита на три команды, которые ведут свою деятельность в разных странах.

Основным способом доставки вредоносного ПО на компьютеры пользователей является целевой фишинг. Организаторы Desert Falcons отправляют потенциальным жертвам сообщения с вредоносными вложениями или ссылками по электронной почте, в социальных сетях или чатах. При этом киберпреступники маскируют зловреды под легитимные приложения. Так, они используют специальный прием, позволяющий менять порядок символов в названии файла на обратный, благодаря чему файловое расширение, очевидно указывающее на вредоносную программу (.exe или .scr), оказывается в середине названия, а в конце появляется набор символов, характерный для безобидного ПО: например, файл, чье название оканчивается на .fdp.scr, после подобной обработки будет выглядеть как .rcs.pdf.

В случае успешного заражения компьютера жертвы атакующие используют либо основной троянец Desert Falcons, либо DHS бэкдор. Оба зловреда созданы киберпреступниками «с нуля» и находятся в процессе постоянной доработки. Эксперты «Лаборатории Касперского» выявили более 100 различных образцов вредоносного ПО, используемого злоумышленниками в этой операции. С их помощью хакеры делают снимки экранов, перехватывают нажатия клавиш на клавиатуре, загружают и скачивают файлы, собирают информацию обо всех имеющихся на компьютере файлах в форматах Word и Excel, крадут пароли и делают аудиозаписи. Кроме того, были найдены следы активности вредоносного ПО, напоминающего по своему функционалу бэкдор для Android, который способен красть информацию о звонках с мобильного телефона и SMS.

«Организаторы этой кампании кибершпионажа крайне целеустремлены, активны, имеют хорошую техническую подготовку и прекрасно понимают политическую и культурную ситуацию. Имея в своем арсенале лишь фишинговые приемы, социальную инженерию и самодельные зловреды, они смогли заразить сотни компьютеров и мобильных устройств на Ближнем Востоке и заполучить ценную информацию, – отмечает Дмитрий Бестужев, ведущий антивирусный эксперт «Лаборатории Касперского». – Мы предполагаем, что операция Desert Falcons будет развиваться и дальше, а ее организаторы будут совершенствовать свои методы и инструменты. Например, при достаточной финансовой поддержке они смогут купить или создать эксплойты – и тогда эффективность их атак возрастет».

Защитные продукты «Лаборатории Касперского» выявляют и блокируют все вредоносные программы, используемые в операции Desert Falcons.

Более подробную информацию об этой кампании кибершпионажа можно получить из аналитического отчета «Лаборатории Касперского» по адресу http://securelist.com/blog/research/68817/the-desert-falcons-targeted-attacks.

Сокол в пустыне: кампания кибершпионажа на Ближнем Востоке затронула более 50 стран во всем мире

«Лаборатория Касперского» раскрыла первую из известных кампанию кибершпионажа арабского происхождения, основной удар которой направлен на стратегически важные организации в странах Ближнего Востока.
Kaspersky logo

О «Лаборатории Касперского»

«Лаборатория Касперского» — международная компания, работающая в сфере информационной безопасности и цифровой приватности с 1997 года. На сегодняшний день компания защитила более 1 миллиарда устройств от массовых киберугроз и целенаправленных атак, а накопленные ей знания и опыт последовательно трансформируются в инновационные решения и услуги для защиты бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей по всему миру. Обширное портфолио «Лаборатории Касперского» включает в себя передовые технологии для защиты конечных устройств, ряд специализированных продуктов и сервисов, а также кибериммунные решения для борьбы со сложными и постоянно эволюционирующими киберугрозами. Мы помогаем 200 тысячам корпоративных клиентов во всём мире защищать самое ценное для них. Подробнее на www.kaspersky.ru.

Похожие статьи Пресс-релизы