Cancun, México – Pesquisadores da Kaspersky Lab descobriram o primeiro grupo de APT (sigla em inglês para Ameaça Persistente Avançada) da língua árabe. Apelidado de Falcões do Deserto, o grupo de mais ou menos trinta atacantes – alguns dos quais são conhecidos pelo próprio nome – operam fora da Palestina, Egito e Turquia, e disse terem desenvolvido e implantado seus produtos exclusivamente no Oriente Médio. É impossível determinar se os Falcões do Deserto está sendo patrocinado pelo Estado.
Seu arsenal consiste em ferramentas de malware caseiras e engenharia social e outras técnicas destinadas a executar e ocultar campanhas tanto em sistemas operacionais tradicionais como móveis. Particularmente, o malware dos Falcões do Deserto está planejado para roubar informações confidenciais de suas vítimas, que em seguida é usada para abastecer outras operações e até mesmo para tentativas de extorsão contra alvos impactados.
Go in-depth with the #FalconsAPT and read our exclusive report #TheSAS2015 – http://t.co/Tb6Ag44DtN pic.twitter.com/4Ajw672WZT
— KasperskyUK (@kasperskyuk) February 19, 2015
Segundo a equipe do GReAT da Kaspersky Lab, sas vítimas são direcionadas para os segredos de suas posses ou informação de inteligência relativos às suas posições nos governos ou organizações importantes.
“Mais de 1 milhão de arquivos foram roubados das vítimas”, declarou a empresa anti-malware. “Os arquivos roubados incluem comunicações diplomáticas de embaixadas, planos e documentos militares, documentos financeiros, listas de contatos VIP e midiáticos assim como arquivos.”
Os ataques dos Falcões do Deserto atingiram umas 3.000 vítimas em mais de 50 países. A maioria delas se encontram na Palestina, Egito, Israel e Jordânia, mas também houve descobertas na Arábia Saudita, Emirados Árabes Unidos, EUA, Coreia do Sul, Marrocos e Qatar, entre outros lugares.
Os Falcões do #DesertoAPT revelados por @KasperskyLab em #TheSAS2015 é o primeiro #APT exclusivo do Oriente Médio. [/twitter_pullquote]
As vítimas incluem organizações militares e governamentais, funcionários responsáveis pelos serviços de saúde, organizações que lutam contra a lavagem de dinheiro, instituições econômicas e financeiras, principais órgãos de comunicação social, instituições de pesquisa e ensino, prestadores de energia e de serviços públicos, ativista e líderes políticos, empresas de segurança física e outros alvos que têm acesso à informação geopolítica importante.
As ferramentas usadas no ataque dos Falcões do Deserto incluem backdoors em computadores tradicionais por meio do qual os atacantes instalam malwares capazes de registrar as teclas digitadas, tiram screenshots e até mesmo gravando o áudio remotamente. Há também um componente móvel para Android com a capacidade de espionar os SMS de texto e o registro de chamadas.
Curiosamente, os pesquisadores apresentaram os Falcões do Deserto na Cumbre de Analistas de Segurança da Kaspersky Lab, disseram que eles são os priemiros a utilizar o chat do Facebook em ataques direcionados, conectando com as vítimas através de páginas comuns do Facebook até ganhar a sua confiança e enviar para você arquivos de Tróia via chat escondido em uma foto.
O grupo começou a construir suas ferramentas no início de 2011 e atingiu as suas primeiras infecções em 2013, mas não foi até o final de 2014 e o início de 2015 quando a actividade dos Falcões do Deserto começou a alcançar o seu máximo.
A Kaspersky Lab declara que seus produtos detectam e bloqueam todas as variantes do malware utilizadas nesta campanha.
Tradução: Juliana Costa Santos Dias