Backdoors mit umfassenden Spionage-Tools
Hunting Desert Falcons: Kaspersky Lab enttarnt erste arabische Cyberspionagegruppe
Zur Verbreitung ihrer Malware setzt Desert Falcons vor allem auf Spear-Phishing - Bereits über 3.000 Opfer in mehr als 50 Nationen betroffen
(05.03.15) - Kaspersky Lab enttarnte die Cyberspionagegruppe "Desert Falcons", die sich gegen verschiedene hochrangige Organisationen und Einzelpersonen im Nahen Osten richtet. Damit konnten die IT-Sicherheitsexperten erstmals eine Gruppe von Cybersöldnern aus dem arabischen Raum enttarnen, die offenbar über das komplette Spektrum von Cyberspionagemitteln verfügt. Die Gruppe startete ihre Aktivitäten bereits im Jahr 2011, seit dem Jahr 2013 werden Rechner infiziert. Den Experten von Kaspersky Lab zufolge erreichte die Kampagne ihren Höhepunkt zu Beginn des Jahres 2015.
Auf der Liste der Opfer stehen Verteidigungs- und Regierungsinstitutionen, speziell deren Mitarbeiter in den Abteilungen zur Aufdeckung von Geldwäsche, für Gesundheit oder auch Wirtschaft. Betroffen sind weiterhin führende Medienkonzerne, Institutionen aus Forschung und Bildung, Energie- und Infrastrukturdienstleister, Aktivisten und hochrangige Politiker, Sicherheitsfirmen für Objektschutz und weitere Ziele, die in Besitz wichtiger geopolitischer Informationen sein dürften.
Die Kaspersky Lab vorliegenden Informationen weisen auf über 3.000 Opfer in mehr als 50 Ländern hin, denen über eine Million Dateien gestohlen wurden. Offenbar liegt das Operationsfeld der Gruppe hauptsächlich in den Ländern Ägypten, Palästina, Israel und Jordanien. Betroffene finden sich aber auch in Katar, Saudi-Arabien, den Vereinigten Arabischen Emiraten, Algerien, dem Libanon, in Norwegen, der Türkei, in Schweden, Frankreich, den USA, sowie in Russland und weiteren Staaten.
Die Gruppe nutzt selbstentwickelte schadhafte Werkzeuge und attackiert damit Windows-PCs sowie mobile Geräte mit Android-Betriebssystem. Kaspersky Lab geht aufgrund mehrerer Hinweise davon aus, dass es sich bei Desert Falcons um eine Gruppe arabisch-sprechender Personen handelt.
Anwender mittels RTLO ausgetrickst
Zur Verbreitung ihrer Malware setzt Desert Falcons vor allem auf Spear-Phishing. Die Opfer werden dabei via E-Mail, Soziales Netzwerk oder Chat kontaktiert. Die Mitteilungen enthalten schadhafte Dateien oder Links darauf und sind als harmlose Dokumente oder legitime Anwendungen getarnt. Um die Adressaten zur Ausführungen der Schadprogramme zu verleiten, werden diverse Techniken genutzt, darunter auch die sogenannte RTLO-Methode (Right-to-left extension override). Dafür wird eine spezielle Unicode-Eigenschaft ausgenutzt, mit der man die Reihenfolge der Zeichen in einem Dateinamen vertauschen kann. Endungen wie ".exe" oder ".scr", die auf potenziell gefährliche Dateien schließen lassen, verschieben sich dabei in die Mitte des Dateinamens. Harmlose Endungen stehen dafür an letzter Stelle. Zum Beispiel wird ein Dateiname, der auf ".fdp.scr" endet, als ".rcs.pdf" dargestellt. Auch technisch versierte Anwender lassen sich davon leicht täuschen.
Einmal infiziert nutzt Desert Falcons auf den Geräten der Opfer zwei unterschiedliche Backdoors. Neben dem hauptsächlich verwendeten Trojaner wird auch das DHS-Backdoor eingesetzt. Kaspersky Lab geht davon aus, dass in beiden Fällen die Schadsoftware komplett neu erstellt wurde und ständig weiterentwickelt wird. Bislang wurden bei der Analyse der Angriffe über 100 verschiedene Schadsamples von Desert Falcons gefunden.
Die Malware verfügt über volle Backdoor-Möglichkeiten wie das Erstellen von Screenshots, das Aufzeichnen von Tastaturanschlägen, Up- und -Downloads von Dateien, das Sammeln von Informationen über alle Word- und Excel-Dateien auf Festplatte und angeschlossenen USB-Wechseldatenträgern, den Zugriff auf die Passwörter, die in der Registry des Systems gespeichert sind (Internet Explorer und Live Messenger) sowie Audio-Aufzeichnungen. Zudem fanden die Experten von Kaspersky Lab Hinweise auf eine Android-Backdoor zum Abhören von Gesprächen und SMS-Mitteilungen auf mobilen Geräten.
Desert Falcons auf der Jagd nach Geheimnissen
Mit den beschriebenen Techniken hat die Desert Falcons-Gruppe bereits mindestens drei Kampagnen gegen unterschiedliche Opfer aus verschiedenen Ländern durchgeführt. Kaspersky Lab geht davon aus, dass hinter Desert Falcons mindestens 30 Personen stehen, die in drei multinationalen Teams operieren.
"Die einzelnen Mitglieder sind hochmotiviert, aktiv und verfügen über gute technische, politische und kulturelle Kenntnisse. Obwohl nur Phishing-Mails, Social Engineering sowie selbstentwickelte Tools und Schadsoftware genutzt wurden, ist es Desert Falcons gelungen, an sensible Informationen in den Rechnern und mobilen Geräten wichtiger und hochrangiger Opfer im Nahen Osten zu gelangen", so Dmitrv Bestuzhev, Security Expert im Global Research and Analysis Team bei Kaspersky Lab. "Wir müssen davon ausgehen, dass die Kampagne unter dem Einsatz weiterer Trojaner und mit noch ausgefeilteren Techniken fortgesetzt wird. Falls die Gruppe über entsprechende finanzielle Mittel verfügt, wäre sie in der Lage, weitere Exploits einzukaufen oder zu entwickeln, und könnte so die Effizienz ihrer Angriffe noch steigern." (Kaspersky Lab: ra)
Kaspersky Lab: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.