10 de diciembre de 2016

MuyComputerPRO

El primer grupo árabe de ciberespionaje se hace llamar “Halcones del Desierto”

El primer grupo árabe de ciberespionaje se hace llamar “Halcones del Desierto”

El primer grupo árabe de ciberespionaje se hace llamar “Halcones del Desierto”
febrero 18
12:30 2015

Halcones del Desierto

El equipo de analistas de Kaspersky Lab ha descubierto Halcones del Desierto, un grupo de ciberespionaje dirigido a varias organizaciones y personas de alto perfil en países de Oriente Medio. Los expertos de consideran el primer grupo árabe conocido de cibermercenarios cuyo objetivo es desarrollar y ejecutar operaciones de ciberespionaje a gran escala.

La campaña ha estado activa durante al menos dos años. Los Halcones del Desierto comenzaron con el desarrollo y la construcción de su operación en el año 2011 y su campaña principal empezó a partir de 2013. El pico de su actividad se registró a principios de 2015.

La gran mayoría de los objetivos son de Egipto, Palestina, Israel y Jordania

Además de los países de Oriente Medio, los Halcones del Desierto también han ido de caza fuera de este territorio. En total, han atacado a más de 3.000 víctimas en más de 50 países, con más de un millón de archivos robados. Los atacantes utilizan herramientas propietarias maliciosas para ataques a PCs Windows y dispositivos Android.

Por otro lado, la lista de víctimas concretas incluye organizaciones militares y gubernamentales – especialmente empleados responsables en la lucha contra el lavado de dinero, así como salud y economía; principales medios de comunicación; instituciones de investigación y educación; proveedores de energía y servicios públicos; activistas y dirigentes políticos; empresas de seguridad física; y otros objetivos que tienen información geopolítica importante.

En total, los expertos de Kaspersky Lab han encontrado señales de más de 3.000 víctimas en más de 50 países, con más de un millón de archivos robados. Aunque el objetivo principal de la actividad de los Halcones del Desierto parece estar en países como Egipto, Palestina, Israel y Jordania, muchas otras víctimas se encuentran en Qatar, KSA, Emiratos Árabes Unidos, Argelia, Líbano, Noruega, Turquía, Suecia, Francia, el Reino Unidos, Rusia y otros países.

Halcones del Desierto

Entregar, infectar, espiar

El principal método utilizado por los Halcones para entregar la carga maliciosa era el “spear phishing” a través de correos electrónicos, mensajes de redes sociales y mensajes de chat. Los mensajes phishing contenían archivos maliciosos (o un enlace a archivos maliciosos) haciéndose pasar por documentos o aplicaciones legítimas. Utilizan varias técnicas para atraer a las víctimas para que ejecuten los archivos maliciosos. Una de las técnicas más específicas es la denominada right-to-left.

Este método tiene la capacidad de invertir en Unicode el orden de los caracteres en un nombre de archivo, ocultando la extensión de archivo peligroso en medio del nombre y la colocación de una extensión de archivo falso que pasa desapercibido. Usando esta técnica, los archivos maliciosos (.exe, .scr) se verán como un documento inofensivo o archivo pdf. Incluso los usuarios cuidadosos con conocimientos técnicos podrían terminar infectados por estos archivos. Por ejemplo, un archivo que termina en .fdp.scr aparecería .rcs.pdf.

Después de conseguir infectar a una víctima, los Halcones del Desierto utilizaban uno de los dos backdoor: el principal, el troyano Halcones del Desierto y  el DHS Backdoor, ambos parecen haber sido desarrollados desde cero y están en continua evolución. Los expertos de Kaspersky Lab han identificado más de 100 ejemplares de malware utilizado por el grupo en sus ataques.

Las herramientas maliciosas tienen funcionalidad de backdoor completa, incluyendo la capacidad de realizar capturas de pantalla, pulsaciones del teclado, archivos de carga/descarga, recopilar información sobre todos los archivos de Word y Excel en el disco duro de una víctima o dispositivos USB conectados, robar contraseñas almacenadas en el registro del sistema (Internet Explorer y Live Messenger) y realizar grabaciones de audio. Los expertos de Kaspersky Lab también encontraron restos de la actividad de un malware que parece ser un backdoor Android capaz de acceder a las llamadas móviles y SMS.

About Author

RedaccionMCP

RedaccionMCP

Articulos relacionados

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!