Bereits 3.000 Opfer

Erste Gruppe von arabischen Cybersöldnern enttarnt

(Bild: Kaspersky)

Experten des IT-Sicherheitsunternehmens Kaspersky Lab haben erstmals eine Gruppe von Cybersöldnern aus dem arabischen Raum enttarnt, die offenbar über das komplette Spektrum von Cyberspionagemitteln verfügt. Die Angriffe der "Desert Falcons" (Wüstenfalken) richten sich demnach vornehmlich gegen verschiedene hochrangige Organisationen und Einzelpersonen im Nahen Osten.

Auf der Liste der Opfer stehen Verteidigungs- und Regierungsinstitutionen, speziell deren Mitarbeiter in den Abteilungen zur Aufdeckung von Geldwäsche, für Gesundheit oder auch Wirtschaft. Betroffen sind außerdem führende Medienkonzerne, Institutionen aus Forschung und Bildung, Energie- und Infrastrukturdienstleister, Aktivisten und hochrangige Politiker, Sicherheitsfirmen für Objektschutz sowie weitere Ziele, die in Besitz wichtiger geopolitischer Informationen sein dürften.

Bereits über 3.000 Opfer
Die vorliegenden Informationen wiesen auf über 3.000 Opfer in mehr als 50 Ländern hin, denen über eine Million Dateien gestohlen worden seien, so Kaspersky. Das Operationsfeld der Gruppe liege offenbar hauptsächlich in den Ländern Ägypten, Palästina, Israel und Jordanien. Betroffene fänden sich aber auch in Katar, Saudi-Arabien, den Vereinigten Arabischen Emiraten, Algerien, dem Libanon, in Norwegen, der Türkei, Schweden, Frankreich, den USA sowie in Russland und anderen Staaten. Aufgrund mehrerer Hinweise gehe man davon aus, dass es sich bei Desert Falcons um eine Gruppe arabisch sprechender Personen handle.

Die Cyberspionagegruppe nutze selbst entwickelte Malware-Tools und attackiere damit Windows-PCs sowie mobile Android-Geräte. Zur Verbreitung ihrer Schadsoftware setze Desert Falcons vor allem auf sogenanntes Spear-Phishing: Die Opfer würden dabei direkt via E-Mail, über soziale Netzwerke oder per Chat kontaktiert. Die Mitteilungen enthielten schadhafte Dateien oder Links und seien als harmlose Dokumente oder legitime Anwendungen getarnt.

Schadsoftware für Laien nur schwer zu erkennen
Um die Adressaten zur Ausführungen der Schadprogramme zu verleiten, würden diverse Techniken genutzt, darunter die sogenannte RTLO-Methode (Right-to-left extension override). Dafür wird laut Kaspersky eine spezielle Unicode-Eigenschaft ausgenutzt, mit der man die Reihenfolge der Zeichen in einem Dateinamen vertauschen kann: Endungen wie ".exe" oder ".scr", die auf potenziell gefährliche Dateien schließen lassen, verschieben sich dabei in die Mitte des Dateinamens. Harmlose Endungen stehen dafür an letzter Stelle. Zum Beispiel wird ein Dateiname, der auf ".fdp.scr" endet, als ".rcs.pdf" dargestellt. Auch technisch versierte Anwender lassen sich davon leicht täuschen.

Umfassende Spionage-Tools
Einmal infiziert, nutze Desert Falcons auf den Geräten der Opfer zwei unterschiedliche Software-Hintertüren, um seine Trojaner einzuschleusen. Mithilfe dieser könnten unter anderem Screenshots erstellt, Tastaturanschläge sowie Up- und Downloads aufgezeichnet und Informationen über alle Word- und Excel-Dateien auf Festplatte und angeschlossenen USB-Wechseldatenträgern gesammelt werden. Zudem fanden die Experten Hinweise auf eine Android-Hintertür zum Abhören von Gesprächen und SMS-Mitteilungen auf mobilen Geräten.

Desert Falcons auf der Jagd nach Geheimnissen
Mit den beschriebenen Techniken habe die Gruppe bereits mindestens drei Kampagnen gegen unterschiedliche Opfer aus verschiedenen Ländern durchgeführt. Kaspersky Lab geht davon aus, dass hinter Desert Falcons mindestens 30 Personen stehen, die in drei multinationalen Teams operieren.

"Die einzelnen Mitglieder sind hochmotiviert, aktiv und verfügen über gute technische, politische und kulturelle Kenntnisse. Obwohl nur Phishing-Mails, Social Engineering sowie selbst entwickelte Tools und Schadsoftware genutzt wurden, ist es Desert Falcons gelungen, an sensible Informationen in den Rechnern und mobilen Geräten wichtiger und hochrangiger Opfer im Nahen Osten zu gelangen", so Dmitrv Bestuzhev, Security Expert im Global Research and Analysis Team bei Kaspersky Lab.

"Wir müssen davon ausgehen, dass die Kampagne unter dem Einsatz weiterer Trojaner und mit noch ausgefeilteren Techniken fortgesetzt wird. Falls die Gruppe über entsprechende finanzielle Mittel verfügt, wäre sie in der Lage, weitere Exploits einzukaufen oder zu entwickeln, und könnte so die Effizienz ihrer Angriffe noch steigern."