La liste des victimes comprend des agences de défense et des administrations, en particulier des responsables de la lutte contre le blanchiment ou encore dans les domaines de la santé et de l’économie, de grands médias, des établissements de recherche et d’enseignement, des réseaux d’énergie ou autres, des militants et responsables politiques, des entreprises de sécurité physique, ainsi que d’autres cibles en possession d’importantes informations géopolitiques. Au total, plus de 3 000 victimes dans une cinquantaine de pays et plus d’un million de fichiers volés. Bien que l’activité des Desert Falcons paraisse se concentrer dans des pays tels que l’Egypte, la Palestine, Israël et la Jordanie, de nombreuses victimes ont été également recensées au Qatar, en Arabie saoudite, aux Emirats Arabes Unis, en Algérie, au Liban, en Norvège, en Turquie, en Suède, en France, aux Etats-Unis, en Russie, etc.
Diffusion, infection, espionnage
La principale méthode utilisée par les Desert Falcons pour diffuser leur code malveillant est le « spear phishing » via des e-mails, des réseaux sociaux et des messages de chat. Ces messages contiennent des fichiers malicieux (ou un lien vers ceux-ci) apparaissant sous forme de documents ou d’applications légitimes. Les Desert Falcon emploient plusieurs techniques pour inciter les victimes à ouvrir ces fichiers, notamment celle d’inversion de l’extension de la droite vers la gauche appelée « right-to-left override ». Cette méthode exploite un caractère Unicode spécial pour inverser l’ordre des caractères dans le nom du fichier, masquant ainsi l’extension dangereuse au milieu du nom pour la remplacer par un suffixe inoffensif en apparence. En conséquence, les fichiers malveillants (.exe, .scr) se présentent comme un document ou un fichier PDF sans danger, de sorte que même un utilisateur prudent ayant de bonnes connaissances techniques pourrait être leurré et lancer le fichier. Par exemple, le nom d’un fichier se terminant en réalité par .fdp.scr s’affichera .rcs.pdf.
Après avoir réussi à infecter une victime, les cyberespions font appel à deux types de backdoors : le cheval de Troie Desert Falcons ou le backdoor DHS, qui semblent tous deux avoir été développés à partir de zéro et être continuellement perfectionnés. Au total, plus d’une centaine d’échantillons de malware utilisés par le groupe dans ses attaques, ont été identifiés. Les outils malveillants employés possèdent toutes les fonctionnalités d’un backdoor, à avoir la capacité de prendre des copies d’écran, d’enregistrer des frappes clavier, de télécharger des fichiers, de collecter des informations sur tous les fichiers Word et Excel présents sur le disque dur d’une victime ou sur les périphériques USB connectés à l’ordinateur, de dérober des mots de passe stockés dans la base de registre (Internet Explorer et Live Messenger) ou encore de réaliser des enregistrements audio. Les experts de Kaspersky Lab ont également détecté les traces d’activité d’un malware qui semble être un backdoor Android capable de pirater le journal des appels et des SMS sur un mobile. Au moyen de ces outils, les Desert Falcons ont lancé et mené au moins trois campagnes malveillantes distinctes, ciblant différentes catégories de victimes dans divers pays.
Un nid de faucons en quête de secrets
Kaspersky Lab estiment qu’au moins 30 individus, répartis en trois équipes dans différents pays, dirigent les campagnes de malware des Desert Falcons. « Les individus qui se cachent derrière cette menace sont extrêmement déterminés, actifs et formés ou informés sur le plan technique, politique et culturel. A l’aide de simples e-mails de phishing, de techniques d’ingénierie sociale et d’outils et de backdoors maison, les Desert Falcons sont parvenus à infecter des centaines de victimes sensibles et importantes au Moyen-Orient, à travers leurs systèmes informatiques ou mobiles, et à leur dérober des données confidentielles. Nous pensons que cette opération va se poursuivre en développant encore d’autres chevaux de Troie et des techniques plus avancées. Moyennant un financement suffisant, ses auteurs pourraient être en mesure d’acquérir ou de développer des outils exploitant des vulnérabilités susceptibles d’accroître l’efficacité de leurs attaques », commente Nicolas Brulez, expert en sécurité au sein de l’équipe GReAT de Kaspersky Lab.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Etonnant ce genre d’info qui sort juste après les révélations sur Fanny de la NSA.
@yoyo
Et c’est toujours chez Kaspersky Lab..
Par ailleurs, article depuis supprimé.. (cf. http://securelist.com/blog/research/68817/the-desert-falcons-targeted-attacks/ )