jueves. 28.03.2024

El equipo de analistas de Kaspersky Lab ha descubierto Halcones del Desierto, un grupo de ciberespionaje dirigido a varias organizaciones y personas de alto perfil en países de Oriente Medio. Los expertos de Kaspersky Lab les consideran el primer grupo árabe conocido de cibermercenarios cuyo objetivo es desarrollar y ejecutar operaciones de ciberespionaje a gran escala.

La campaña ha estado activa durante al menos dos años. Los Halcones del Desierto comenzaron con el desarrollo y la construcción de su operación en el año 2011 y su campaña principal empezó a partir de 2013. El pico de su actividad se registró a principios de 2015

La gran mayoría de los objetivos son de Egipto, Palestina, Israel y Jordania

Además de los países de Oriente Medio, los Halcones del Desierto también han ido de caza fuera de este territorio. En total, han atacado a más de 3.000 víctimas en más de 50 países, con más de un millón de archivos robados.

Los atacantes utilizan herramientas propietarias maliciosas para ataques a PCs Windows y dispositivos Android

Los expertos de Kaspersky Lab creen que los ciberatacantes son nativos árabes.

La lista de víctimas concretas incluye organizaciones militares y gubernamentales - especialmente empleados responsables en la lucha contra el lavado de dinero, así como salud y economía; principales medios de comunicación; instituciones de investigación y educación; proveedores de energía y servicios públicos; activistas y dirigentes políticos; empresas de seguridad física; y otros objetivos que tienen información geopolítica importante.

En total, los expertos de Kaspersky Lab han encontrado señales de más de 3.000 víctimas en más de 50 países, con más de un millón de archivos robados. Aunque el objetivo principal de la actividad de los Halcones del Desierto parece estar en países como Egipto, Palestina, Israel y Jordania, muchas otras víctimas se encuentran en Qatar, KSA, Emiratos Árabes Unidos, Argelia, Líbano, Noruega, Turquía, Suecia, Francia, el Reino Unidos, Rusia y otros países.

Entregar, infectar, espiar

El principal método utilizado por los Halcones para entregar la carga maliciosa era el “spear phishing” a través de correos electrónicos, mensajes de redes sociales y mensajes de chat. Los mensajes phishing contenían archivos maliciosos (o un enlace a archivos maliciosos) haciéndose pasar por documentos o aplicaciones legítimas. Utilizan varias técnicas para atraer a las víctimas para que ejecuten los archivos maliciosos. Una de las técnicas más específicas es la denominada right-to-left.

Este método tiene la capacidad de invertir en Unicode el orden de los caracteres en un nombre de archivo, ocultando la extensión de archivo peligroso en medio del nombre y la colocación de una extensión de archivo falso que pasa desapercibido. Usando esta técnica, los archivos maliciosos (.exe, .scr) se verán como un documento inofensivo o archivo pdf. Incluso los usuarios cuidadosos con conocimientos técnicos podrían terminar infectados por estos archivos. Por ejemplo, un archivo que termina en .fdp.scr aparecería .rcs.pdf.

Después de conseguir infectar a una víctima, los Halcones del Desierto utilizaban uno de los dos backdoor: el principal, el troyano Halcones del Desierto y el DHS Backdoor, ambos parecen haber sido desarrollados desde cero y están en continua evolución. Los expertos de Kaspersky Lab han identificado más de 100 ejemplares de malware utilizado por el grupo en sus ataques.

Las herramientas maliciosas tienen funcionalidad de backdoor completa, incluyendo la capacidad de realizar capturas de pantalla, pulsaciones del teclado, archivos de carga/descarga, recopilar información sobre todos los archivos de Word y Excel en el disco duro de una víctima o dispositivos USB conectados, robar contraseñas almacenadas en el registro del sistema (Internet Explorer y Live Messenger) y realizar grabaciones de audio. Los expertos de Kaspersky Lab también encontraron restos de la actividad de un malware que parece ser un backdoor Android capaz de acceder a las llamadas móviles y SMS.

Con estas herramientas, los Halcones del Desierto lanzaron al menos tres campañas maliciosas diferentes dirigidas a víctimas en diferentes países.

Un pack de Halcones en búsqueda de secretos

Los analistas de Kaspersky Lab estiman que al menos 30 personas, divididas en tres equipos, repartidos en diferentes países, están operando las campañas de malware de Halcones del Desierto.

"Las personas que están detrás de esta amenaza son muy activos y con buena perspectiva técnica, política y cultural. Con el uso de mensajes de correo electrónico phishing, ingeniería social y herramientas y backdoors caseros, los Halcones del Desierto fueron capaces de infectar a cientos de víctimas sensibles e importantes de la región de Oriente Medio, a través de sus sistemas informáticos o dispositivos móviles y extraer datos sensibles. Con suficiente financiación, podrían haber adquirido o desarrollado exploits que aumentaran la eficiencia de sus ataques", afirma Dmitry Bestúzhev, experto en seguridad de Kaspersky Lab.

Kaspersky Lab descubre el primer grupo árabe de ciberespionaje que ataca en todo el mundo