Cẩn trọng với tổ chức gián điệp mạng Desert Falcons

Một phần mềm độc hại được phát triển bởi Desert Falcons có khả năng đánh cắp thông tin các cuộc điện thoại di động và tin nhắn SMS.

Viện nghiên cứu và phân tích toàn cầu của Kaspersky Lab vừa phát hiện ra nhóm gián điệp mạng Desert Falcons, nhắm mục tiêu vào nhiều tổ chức và cá nhân cao cấp tại các nước Trung Đông.

Theo Kaspersky Lab, Desert Falcons là nhóm tin tặc Ả Rập, hoạt động như một đội lính đánh thuê trong lĩnh vực gián điệp mạng, phát triển và điều hành hoạt động tình báo mạng một cách toàn diện, lần đầu tiên được biết đến.

50 quốc gia bị ảnh hưởng bởi Desert Falcons

Chiến dịch này đã được thực hiện ít nhất trong 2 năm qua. Desert Falcons được xây dựng vào năm 2011, và bắt đầu thực hiện chiến dịch lây nhiễm từ năm 2013. Đỉnh điểm các hoạt động của nhóm đã bị phát hiện vào đầu năm 2015.

Mục tiêu chính của Desert Falcons là  Ai Cập, Palestine, Israel và Jordan.

Hình ảnh một số loại dữ liệu bị Desert Falcons chèn mã độc. 

Ngoài việc tập trung vào mục tiêu ban đầu là các quốc gia ở Trung Đông thì Desert Falcons đang mở rộng mục tiêu đến nhiều lãnh thổ khác, như: Qatar, KSA, UAE, Algeria, Lebanon, Na Uy, Thổ Nhĩ Kỳ, Thụy Điển, Pháp, Hoa Kỳ, Nga và các nước khác. Tổng cộng, chúng đã tấn công hơn 3.000 nạn nhân ở hơn 50 quốc gia với hơn 1 triệu tập tin bị đánh cắp.

Danh sách nạn nhân bao gồm các tổ chức quân đội và chính phủ, đặc biệt là các nhân viên chịu trách nhiệm về việc chống rửa tiền, nhân viên về y tế và kinh tế, phương tiện truyền thông đại chúng; tổ chức nghiên cứu giáo dục; nhà cung cấp năng lượng và ứng dụng; các nhà hoạt động và các nhà lãnh đạo chính trị; các công ty bảo mật vật lý; và các mục tiêu sở hữu thông tin chính trị quan trọng.

Những kẻ tấn công đã sử dụng các công cụ độc hại và độc quyền cho các cuộc tấn công nhằm vào máy tính Windows và các thiết bị Android. Chuyên gia Kaspersky Lab cũng có nhiều lý do để tin rằng những kẻ tấn công phía sau Desert Falcons nói tiếng Ả Rập gốc.

Đánh cắp tập tin, nghe lén cuộc gọi...

Phương pháp phát tán mã độc chính được Falcons sử dụng là Spear Phishing (một dạng lừa đảo những nạn nhân đã được chọn lựa trước) thông qua e-mail, mạng xã hội hoặc qua chat. Thông điệp lừa đảo có chứa các tập tin độc hại (hoặc một liên kết đến tập tin độc hại) được giả mạo thành tài liệu hợp pháp hoặc các ứng dụng. Desert Falcons sử dụng một số kỹ thuật để dụ nạn nhân chạy các tập tin độc hại.

Phương pháp này lợi dụng một ký tự đặc biệt trong bảng mã Unicode để đảo ngược thứ tự các ký tự trong tên tập tin. Cụ thể, tin tặc sẽ ẩn phần mở rộng nguy hiểm ở giữa của tên tập tin, đồng thời đặt một phần mở rộng tập tin giả có vẻ vô hại ở gần cuối tên tập tin. Sử dụng kỹ thuật này, các tập tin độc hại (*.exe, *.scr, *.pdf) sẽ trông giống như một tài liệu vô hại. Kaspersky Lab đánh giá, ngay cả người dùng cẩn thận với kiến thức kỹ thuật tốt cũng có thể bị mắc mưu chạy các file này.

Sau khi thành công trong việc lây nhiễm mã độc, Desert Falcons sẽ sử dụng một trong hai backdoors khác nhau để thực thi nhiệm vụ gián điệp, bao gồm trojan chính của Desert Falcons hoặc Backdoor DHS. Cả hai trojan này dường như đang được phát triển liên tục. Tính tới hiện tại, các chuyên gia Kaspersky Lab đã có thể nhận biết tổng cộng hơn 100 mẫu phần mềm độc hại được sử dụng trong các cuộc tấn công của Desert Falcons.

Các công cụ độc hại được sử dụng có đầy đủ chức năng của backdoor, bao gồm khả năng chụp ảnh màn hình, theo dõi thao tác gõ phím, đăng tải tập tin, thu thập thông tin về tất cả các tập tin Word và Excel trên đĩa cứng của nạn nhân, và các file âm thanh. Các chuyên gia Kaspersky Lab cũng tìm thấy dấu vết hoạt động của một phần mềm độc hại có khả năng ăn cắp thông tin các cuộc điện thoại di động và tin nhắn SMS.

Các nhà nghiên cứu Kaspersky Lab ước tính rằng, có ít nhất 30 người trong 3 nhóm thực hiện việc lây nhiễm tại các quốc gia, đang vận hành những chiến dịch phần mềm độc hại của Desert Falcons.

Dmitry Bestuzhev, nhà nghiên cứu bảo mật tại viên nghiên cứu và phân tích toàn câu của Kaspersky Lab, cho biết: “Các cá nhân phía sau mối đe dọa này có hiểu biết sâu sắc về kỹ thuật, chính trị và văn hóa. Sử dụng email lừa đảo, kỹ thuật mạng xã hội, các công cụ tự chế và backdoors, Desert Falcons đã có thể lây nhiễm cho hàng trăm nạn nhân nhạy cảm và quan trọng ở khu vực Trung Đông thông qua hệ thống máy tính hoặc các thiết bị di động. Với kinh phí đầy đủ, chúng có thể mua và phát triển các công cụ khai thác nhằm gia tăng hiệu quả những cuộc tấn công”.