Desert Falcons là nhóm tin tặc Ả Rập, hoạt động như một đội lính đánh thuê trong lĩnh vực gián điệp mạng, phát triển và điều hành hoạt động tình báo mạng một cách toàn diện, lần đầu tiên được biết đến.
Thông tin sơ bộ về Desert Falcons
- Desert Falcons phát triển và xây dựng hoạt động vào năm 2011, và bắt đầu thực hiện chiến dịch lây nhiễm vào năm 2013. Đỉnh điểm của các hoạt động của nhóm đã được ghi lại vào đầu năm 2015.
- Mục tiêu chính của Desert Falcons là Ai Cập, Palestine, Israel và Jordan.
- Ngoài việc tập trung vào mục tiêu ban đầu là các quốc gia ở Trung Đông, Desert Falcons đang mở rộng mục tiêu đến nhiều lãnh thổ Khác như Qatar, KSA, UAE, Algeria, Lebanon, Na Uy, Thổ Nhĩ Kỳ, Thụy Điển, Pháp, Hoa Kỳ, Nga và các nước khác. Tổng cộng, chúng đã tấn công hơn 3,000 nạn nhân ở hơn 50 quốc gia với hơn một triệu tập tin bị đánh cắp. Danh sách nạn nhân bao gồm tổ chức quân đội và chính phủ - đặc biệt là các nhân viên chịu trách nhiệm về việc chống rửa tiền, nhân viên về y tế và kinh tế, phương tiện truyền thông đại chúng.
- Những kẻ tấn công sử dụng các công cụ độc hại và độc quyền cho các cuộc tấn công nhằm vào máy tính Windows và các thiết bị Android.
Hoạt động phát tán, lây nhiễm và gián điệp
Phương pháp phát tán tải trọng độc hại chính được Falcons sử dụng là spear phishing (là một dạng lừa đảo những nạn nhân đã được chọn lựa trước) thông qua e-mail, mạng xã hội và qua chat. Thông điệp lừa đảo có chứa các tập tin độc hại (hoặc một liên kết đến tập tin độc hại) được giả mạo thành tài liệu hợp pháp hoặc các ứng dụng.
Phương pháp này lợi dụng một ký tự đặc biệt trong Unicode để đảo ngược thứ tự các ký tự trong tên tập tin, ẩn phần mở rộng nguy hiểm ở giữa của tên tập tin và đặt một phần mở rộng tập tin giả có vẻ vô hại gần cuối tên tập tin. Sử dụng kỹ thuật này, các tập tin độc hại (.exe, .scr) sẽ trông giống như một tài liệu vô hại hoặc file pdf; và ngay cả người dùng cẩn thận với kiến thức kỹ thuật tốt có thể bị mắc mưu chạy các file này.
Sau khi thành công trong việc lây nhiễm nạn nhân, Desert Falcons sẽ sử dụng một trong hai Backdoors khác nhau: Trojan chính của Desert Falcons hoặc Backdoor DHS, cả hai Trojan này dường như đang được phát triển liên tục. Các chuyên gia Kaspersky Lab có thể nhận biết tổng cộng hơn 100 mẫu phần mềm độc hại được sử dụng trong các cuộc tấn công của Desert Falcons
Khám phá bí mật của Desert Falcons
Dmitry Bestuzhev, nhà nghiên cứu bảo mật tại viên nghiên cứu và phân tích toàn câu của Kaspersky Lab, cho biết: “Các cá nhân phía sau mối đe dọa này được xác định cụ thể, chúng có hiểu biết sâu sắc về kỹ thuật, chính trị và văn hóa. Với kinh phí đầy đủ, chúng có thể mua và phát triển các khai thác nhằm gia tăng hiệu quả những cuộc tấn công.”.