«Desert Falcons» (τα γεράκια της ερήμου) είναι το όνομα της πρώτης γνωστής αραβικής ομάδας «κυβερνομισθοφόρων», που, σύμφωνα με την Kaspersky Lab, έχει στοχεύσει μεγάλο αριθμό «υψηλού προφίλ» οργανισμών και ατόμων από τη Μέση Ανατολή.
Όπως αναφέρεται σε σχετική ανακοίνωση της εταιρείας, η εν λόγω ομάδα κυβερνοκατασκοπείας θεωρείται το πρώτο γνωστό αραβικό γκρουπ του είδους που σχεδιάζει, αναπτύσσει και διεξάγει ευρείας κλίμακας επιχειρήσεις κυβερνοκατασκοπείας.
Η «εκστρατεία» τους είναι σε εξέλιξη εδώ και τουλάχιστον δύο χρόνια: ο σχεδιασμός και η ανάπτυξη της επιχείρησης θεωρείται πως άρχισε το 2011, με το βασικό της τμήμα να ξεκινά το 2013 και φτάνει στην κορυφή της δραστηριότητάς της στις αρχές του 2015. Οι περισσότεροι στόχοι βρίσκονται στην Αίγυπτο, την Παλαιστίνη, το Ισραήλ και την Ιορδανία, ωστόσο, πέρα από χώρες της Μέσης Ανατολής, εκτιμάται ότι οι Desert Falcons δραστηριοποιούνται και παραπέρα: συνολικά έχουν καταφέρει να «πλήξουν» πάνω από 3.000 θύματα σε άνω των 50 χωρών παγκοσμίως, υποκλέπτοντας πάνω από ένα εκατομμύριο αρχεία.
Οι εν λόγω κυβερνομισθοφόροι αξιοποιούν δικά τους «εργαλεία» για επιθέσεις σε PC με Windows και συσκευές με Android, ενώ οι ειδικοί της Kaspersky έχουν λόγους να εκτιμούν ότι οι δράστες που κρύβονται πίσω από τους Desert Falcons είναι αραβόφωνοι.
Στη λίστα των στόχων περιλαμβάνονται στρατιωτικοί και κυβερνητικοί φορείς- ειδικά εργαζόμενοι σε τομείς που έχουν να κάνουν με αντιμετώπιση ξεπλύματος χρημάτων, καθώς και την υγεία και την οικονομία, τα ΜΜΕ, ιδρύματα έρευνας και εκπαίδευσης, ενέργεια, ακτιβιστές, πολιτικούς, εταιρείες ασφαλείας και άλλους στόχους που εμπεριέχουν σημαντικές πληροφορίες γεωπολιτικού χαρακτήρα. Στις χώρες όπου εντοπίζονται στόχοι περιλαμβάνονται το Κατάρ, τα Ηνωμένα Αραβικά Εμιράτα, η Αλγερία, ο Λίβανος, η Νορβηγία, η Τουρκία, η Σουηδία, η Γαλλία, οι ΗΠΑ, η Σαουδική Αραβία, η Ρωσία και άλλες χώρες.
Η βασική μέθοδος που χρησιμοποιείται είναι το αποκαλούμενο «spear phishing», μέσω emails, δημοσιεύσεων σε σελίδες κοινωνικής δικτύωσης και μηνύματα chat. Τα μηνύματα phishing περιέχουν κακόβουλα αρχεία (ή links προς τέτοια), που εμφανίζονται ως «κανονικά» έγγραφα ή εφαρμογές. Οι Desert Falcons χρησιμοποιούν διάφορες τεχνικές για να πείσουν τα θύματά τους να «τρέξουν» τα κακόβουλα αρχεία και μία εκ των πιο εξειδικευμένων τεχνικών είναι το αποκαλούμενο «right-to-left extension override», που εκμεταλλεύεται έναν ειδικό χαρακτήρα στο Unicode για να αντιστρέψει τη σειρά χαρακτήρων σε ένα όνομα αρχείου, κρύβοντας το επικίνδυνο file extension στο μέσον του ονόματος του αρχείου και τοποθετώντας ένα, φαινομενικά αθώο, ψεύτικο file extension κοντά στο τέλος του file name. Μέσω αυτής της τεχνικής, κακόβουλα αρχεία (.exe, .scr) μοιάζουν με αβλαβή έγγραφα, και ακόμη και προσεκτικοί χρήστες με επαρκείς τεχνικές γνώσεις μπορούν να παραπλανηθούν.
Μετά τη μόλυνση, οι δράστες χρησιμοποιούν μία από δύο διαφορετικές Backdoors: το κύριο Trojan των Desert Falcons ή το DHS Backdoor. Και στις δύο περιπτώσεις φαίνονται να έχουν στηθεί από το μηδέν και βρίσκονται σε συνεχή ανάπτυξη. Οι ειδικοί της Kaspersky ήταν σε θέση να εντοπίσουν πάνω από 100 δείγματα malware που έχουν χρησιμοποιηθεί από την ομάδα σε επιθέσεις.
Τα εργαλεία αυτά έχουν πλήρη λειτουργικότητα Backdoor, περιλαμβανομένων δυνατοτήτων λήψης screenshots, καταχώρησης πατημάτων πλήκτρων, ανεβάσματος/ κατεβάσματος αρχείων, συλλογής πληροφοριών από αρχεία Word και Excel στον σκληρό δίσκο του θύματος ή από συνδεδεμένες συσκευές USB, υποκλοπής κωδικών αποθηκευμένων στη registry και δημιουργίας αρχείων καταγραφής ήχου. Επίσης, βρέθηκαν ίχνη δραστηριότητας λογισμικού που φαίνεται να ήταν σε θέση να υποκλέπτει κλήσεις κινητής τηλεφωνίας και αρχεία SMS.
Όπως εκτιμάται, τουλάχιστον 30 άτομα, σε τρεις υποομάδες, τα οποία βρίσκονται σε διαφορετικές χώρες, είναι οι αυτουργοί των «εκστρατειών».
«Τα άτομα πίσω από αυτή την ομάδα είναι αποφασισμένα, ενεργά, με καλές τεχνικές, πολιτικές και πολιτισμικές γνώσεις...με επαρκή χρηματοδότηση, μπορούν να είναι σε θέση να αποκτήσουν ή να αναπτύξουν exploits που θα αύξαναν την αποτελεσματικότητα των επιθέσεών τους» ανέφερε ο Ντμίτρι Μπεστούζεφ, ειδικός της Global Research and Analysis Team της Kaspersky Lab.