卡巴斯基实验室全球研究和分析团队最近发现了一个以中东国家多家重要机构和个人为目标的网络间谍攻击组织――沙漠猎鹰(Desert Falcons)
卡巴斯基实验室全球研究和分析团队最近发现了一个以中东国家多家重要机构和个人为目标的网络间谍攻击组织――沙漠猎鹰(Desert Falcons)。卡巴斯基实验室安全专家认为这是首个被发现的阿拉伯网络雇佣军组织,该组织能够开发和执行大规模的网络间谍攻击行动。
- 其攻击行动已经持续至少两年。沙漠猎鹰从2011年开始开发和筹划其攻击行动,但攻击和感染从2013年才开始。根据记录,其攻击行为在2015年初处于高峰;
- 其攻击目标大多位于埃及、巴基斯坦、以色列和约旦;
- 除了中东国家的初始攻击目标外,沙漠猎鹰的攻击范围已经远超这一区域,遍布全球50多个国家,其受害者超过3,000多个,窃取了超过100万个文件。
- 攻击者利用特有的恶意工具攻击 Windows计算机和基于安卓的设备;
- 卡巴斯基实验室的安全专家有多个理由相信,沙漠猎鹰幕后的攻击者来自阿拉伯语地区。
遭遇针对性攻击的受害者包括军事和政府机构,尤其是反洗钱机构的员工以及医疗和经济组织员工、知名的媒体、研究和教育机构、能源和公共事业设备提供商、激进主义者和政治领导人、物理安全企业以及其他掌握重要地缘政治信息的机构。卡巴斯基实验室专家在全球超过50个国家共发现了3000多个受害者,攻击已造成超过100万文件被盗。虽然沙漠猎鹰的主要攻击目标似乎位于埃及、巴基斯坦、以色列和约旦这些国家,但我们同样在卡塔尔、沙特阿拉伯、阿联酋、阿尔及利亚、黎巴嫩、挪威、土耳其、瑞典、法国、美国、俄罗斯和其他国家发现了多个受害者。
传播、感染和间谍攻击
沙漠猎鹰攻击组织主要通过电子邮件、社交网络内容或聊天信息进行钓鱼式攻击,以此传播恶意代码。钓鱼信息中所包含的恶意文件(或指向恶意文件的链接)会伪装成合法文档或应用程序。沙漠猎鹰使用多种手段诱使受害者运行恶意文件。其中最常用的是一种被称为文件扩展名从右至左覆盖技巧。
这一手段利用Unicode中的特殊字符,反向显示文件名字符,在文件名中隐藏危险的文件名扩展名,并且将一个看似无害的虚假文件扩展名置于文件名称的末尾。通过使用这一手段,恶意文件(.exe和.scr)看似为无害的文档或PDF文件,甚至具有较高计算机知识的细心用户也可能上当受骗,从而运行其中的恶意文件。例如,以.fdp、.scr结尾的文件看上去会显示为.rcs和.pdf文件。
成功感染受害者后,沙漠猎鹰会使用两种后门程序中的一种,分别为沙漠猎鹰木马或DHS后门程序。这两种恶意程序均由攻击者自主开发,并且现在还处于不断开发之中。卡巴斯基实验室专家发现该组织在攻击中使用了超过100种恶意软件样本。
所使用的恶意工具具有全面的后门功能,包括截取屏幕、记录键盘击键、上传/下载文件、在受害者磁盘或连接的USB设备上收集所有Word和Excel文件信息、窃取存储在系统注册表(Internet Explorer和live Messenger)中的密码以及录音功能。卡巴斯基实验室专家还在安卓设备上发现了恶意软件的活动痕迹,攻击者使用了具有手机来电和短信日志窃取功能的安卓木马程序。
通过使用这些工具,沙漠猎鹰攻击组织发动和实施了至少三次不同的恶意攻击行动,不同国家的大量用户和组织沦为其受害者。
一大群猎鹰正在搜寻机密信息
卡巴斯基实验室研究专家估计来自三个团队的至少30名人员在不同国家操纵沙漠猎鹰恶意软件的攻击行动。
“该组织成员具有良好的技术背景和政治文化眼光,其攻击目标非常坚定,攻击行动也活跃异常。仅使用钓鱼邮件、社交工程技术、自制的工具和后门程序,沙漠猎鹰就成功感染了成百上千个中东地区的重要敏感组织,利用其计算机系统或移动设备窃取敏感数据。如果有足够的经费支持,他们还可能会获得或开发出漏洞利用程序,提升他们的攻击效率,”卡巴斯基实验室全球研究和分析团队安全专家Dmitry Bestuzhev评论说。
目前,卡巴斯基实验室产品能够成功检测和拦截沙漠猎鹰攻击组织所使用的恶意软件。
请访问Securelist.com,了解更多有关此次攻击行动的详情.
