Desert Falcons: Die besondere APT im Nahen Osten

Kaspersky-Forscher haben mit Desert Falcons die erste, ausschließlich arabische APT-Gruppe aufgedeckt, und stellten die Forschungsergebnisse beim Security Analyst Summit in Cancun vor.

Kaspersky-Forscher haben die erste, ausschließlich arabische APT-Gruppe (Advanced Persistent Threat: fortschrittliche, andauernde Bedrohung) aufgedeckt. Die Gruppe, die Desert Falcons genannt wurde, besteht aus etwa 30 Mitgliedern, von denen einige namentlich bekannt sind, und operiert von Palästina, Ägypten und der Türkei aus. Sie soll ihre Machwerke ausschließlich im Nahen Osten entwickelt und verbreitet haben. Nicht festzustellen ist, ob Desert Falcons staatlich unterstützt wird.

Das Arsenal der Gruppe besteht aus selbstentwickelten Schadprogrammen, Social Engineering und anderen Techniken, die schädliche Aktionen auf Computern und mobilen Betriebssystemen ausführen und verbergen sollen. Die Schadprogramme von Desert Falcons sollen vor allem vertrauliche Informationen von den Opfern stehlen, die dann für weitere Operationen und sogar Erpressungsversuche verwendet werden.

Die Opfer werden laut dem Global Research and Analysis Team von Kaspersky Lab nach den bei ihnen zu findenden Geheimnissen oder deren Position in Regierungen, Behörden und anderen wichtigen Organisationen ausgewählt.

„Von den Opfern wurden über eine Million Dateien gestohlen“, so die Kaspersky-Experten. „Zu den gestohlenen Dateien gehören diplomatische Nachrichten von Botschaften, militärische Pläne und Dokumente, Finanzinformationen sowie Kontaktlisten wichtiger Persönlichkeiten und Medien.“

Den Angriffen von Desert Falcons fielen bereits etwa 3.000 Einrichtungen in über 50 Ländern zum Opfer. Die meisten davon in Palästina, Ägypten, Israel und Jordanien, allerdings wurden auch Angriffe auf Einrichtungen unter anderem in Saudi Arabien, den Vereinigten Arabischen Emiraten, den USA, Südkorea, Marokko und Katar entdeckt.

desert-falcons-2Zu den Opfern zählen militärische und staatliche Einrichtungen, Mitarbeiter von Gesundheitsorganisationen, Behörden, die gegen Geldwäsche vorgehen, wirtschaftliche und Finanzinstitutionen, Energie- und Versorgungsbetriebe, Aktivisten und politische Persönlichkeiten, Sicherheitsfirmen und andere, die Zugriff auf wichtige geopolitische Informationen haben.

Von den Opfern wurden über eine Million Dateien gestohlen.

Die Desert-Falcons-Gruppe verwendet bei ihren Angriffen unter anderem Backdoors für traditionelle Computer, über die sie Schadprogramme installiert, die Tastatureingaben mitschneiden, Screenshots machen und Audioaufnahmen anfertigen können. Zudem gibt es eine mobile Komponente für Android, die SMS-Nachrichten und Anrufprotokolle ausspionieren kann.

Laut den Forschern, die die Informationen zu Desert Falcons beim Kaspersky Lab Security Analyst Summit präsentierten, gehört die Gruppe zu den ersten, die Facebook-Chats bei zielgerichteten Attacken einsetzten und sich mit den Zielen per Facebook in Verbindung setzten, um deren Vertrauen zu erschleichen und ihnen über den Chat Trojaner schicken zu können, die in Fotos verborgen waren.

Die Gruppe startete mit der Entwicklung ihrer schädlichen Tools mindestens im Jahr 2011 und erzielte im Jahr 2013 erste Infizierungen. Doch erst Ende 2014 und Anfang 2015 nahmen die Aktivitäten von Desert Falcons Fahrt auf. Es scheint, dass die Gruppe derzeit aktiver ist, als jemals zuvor.

desert-falcons-3Die Kaspersky-Produkte entdecken und blockieren alle Varianten der Schadprogramme, die in der Desert-Falcons-Kampagne eingesetzt werden.

Tipps