«Лаборатория Касперского» раскрыла первую масштабную кампанию кибершпионажа арабского происхождения: операция Desert Falcons затронула приблизительно 50 стран по всему миру.
Жертвами атак чаще всего становятся правительственные учреждения, военные ведомства, ведущие СМИ, исследовательские и образовательные учреждения, энергетические компании и коммунальные предприятия, активисты и политические лидеры, охранные агентства, а также ряд других организаций, владеющих важной геополитической информацией. В общей сложности атакованы приблизительно 3000 пользователей, а количество украденных файлов превышает миллион.
Расследование показало, что планирование кибероперации было начато ещё в 2011 году, а первые нападения зафиксированы в 2013-м. Пик активности Desert Falcons пришёлся на начало нынешнего года.
Основным способом доставки вредоносного ПО на компьютеры пользователей является целевой фишинг. Потенциальным жертвам рассылаются сообщения с вредоносными вложениями или ссылками по электронной почте, в социальных сетях или чатах. При этом киберпреступники маскируют зловреды под легитимные приложения.
В случае успешного заражения атакующие используют либо основной троян Desert Falcons, либо DHS-бэкдор. Оба зловреда созданы киберпреступниками «с нуля» и находятся в процессе постоянной доработки. Уже выявлено более 100 различных образцов вредоносного ПО.
Злоумышленники делают снимки экрана инфицированного ПК, перехватывают нажатия клавиш на клавиатуре, загружают и скачивают файлы, собирают информацию обо всех имеющихся на компьютере файлах в форматах Word и Excel, крадут пароли и делают аудиозаписи. Кроме того, были найдены следы активности вредоносного ПО, напоминающего по своей функциональности бэкдор для Android, который способен красть информацию о звонках с мобильного телефона и SMS.
Больше всего пострадавших выявлено в Египте, Палестине, Израиле и Иордании, однако немало жертв и в других странах, в том числе в России. «Лаборатория Касперского» полагает, что за операцией Desert Falcons стоит группа из приблизительно 30 киберпреступников арабского происхождения.
