Έχουν καταφέρει να επιτεθούν σε περισσότερα από 3.000 θύματα, σε τουλάχιστον 50 χώρες παγκοσμίως, έχοντας υποκλέψει πάνω από 1 εκατομμύριο αρχεία. Ο λόγος την ομάδα “Desert Falcons”, ενός φορέα ψηφιακής κατασκοπείας, με στόχο οργανισμούς και μεμονωμένα πρόσωπα υψηλού κύρους από χώρες της Μέσης Ανατολής. Οι ειδικοί της Kaspersky Lab θεωρούν το φορέα αυτό ως την πρώτη γνωστή Αραβική ομάδα “ψηφιακών μισθοφόρων”, οι οποίοι έχουν αναπτύξει και πραγματοποιούν ολοκληρωμένες επιχειρήσεις ψηφιακής κατασκοπείας. Η συντριπτική πλειοψηφία των στόχων βρίσκεται στην Αίγυπτο, την Παλαιστίνη, το Ισραήλ και την Ιορδανία. Ωστόσο, εκτός από τις χώρες της Μέσης Ανατολής, οι οποίες αποτέλεσαν τους αρχικούς στόχους, η ομάδα “Desert Falcons” δραστηριοποιείται και εκτός της περιοχής αυτής.


Περισσότερα από 3.000 τα θύματα της ομάδας τα “Γεράκια της Ερήμου”Η ομάδα “Desert Falcons” άρχισε να αναπτύσσει και να εδραιώνει τη λειτουργία της μέσα στο 2011, ωστόσο, το ξεκίνημα της βασικής της δράσης και των μολύνσεων, μέσω του malware της, τοποθετείται στο 2013, ενώ η αιχμή της δραστηριότητας είναι στις αρχές του 2015.

Όσον αφορά τον τρόπο που δρουν, οι επιτιθέμενοι χρησιμοποιούν κακόβουλα εργαλεία, που έχουν αναπτύξει οι ίδιοι, ώστε να εξαπολύουν επιθέσεις σε υπολογιστές Windows και συσκευές Android. Οι ειδικοί της Kaspersky Lab έχουν πολλούς λόγους να πιστεύουν ότι η μητρική γλώσσα των μελών της ομάδας “Desert Falcons” είναι η Αραβική. Εκτιμούν δε ότι τουλάχιστον 30 άτομα, σε τρεις ομάδες, διαμοιρασμένα σε διαφορετικές χώρες, πραγματοποιούν τις εκστρατείες κακόβουλου λογισμικού της ομάδας.

Παρ’ ότι, ο φορέας της επίθεσης φαίνεται να δρα σε χώρες, όπως η Αίγυπτος, η Παλαιστίνη, το Ισραήλ και η Ιορδανία, πολλά θύματα βρέθηκαν, επίσης, στο Κατάρ, τη Σαουδική Αραβία, τα Ηνωμένα Αραβικά Εμιράτα, την Αλγερία, το Λίβανο, τη Νορβηγία, την Τουρκία, τη Σουηδία, τη Γαλλία, τις Ηνωμένες Πολιτείες, τη Ρωσία και άλλες χώρες.

Στόχοι
Η λίστα των θυμάτων, που στοχοποιήθηκαν, περιλαμβάνει στρατιωτικούς και κυβερνητικούς οργανισμούς - και ειδικότερα, στελέχη επιφορτισμένα με την αντιμετώπιση του ξεπλύματος μαύρου χρήματος. Επίσης, η εκστρατεία στράφηκε εναντίον στελεχών από τους κλάδους της υγείας και της οικονομίας, κορυφαίων Μέσων Μαζικής Ενημέρωσης, ερευνητικών και εκπαιδευτικών ιδρυμάτων, παρόχων ενέργειας και υπηρεσιών κοινής ωφέλειας, ακτιβιστών και πολιτικών ηγετών, εταιρειών προσωπικής ασφάλειας και άλλων στόχων, που έχουν στην κατοχή τους σημαντικές γεωπολιτικές πληροφορίες.

Μέθοδοι
Η κύρια μέθοδος, που χρησιμοποιήθηκε από την ομάδα “Desert Falcons” για τη μεταφορά κακόβουλου φορτίου ήταν το spearphishing μέσω email, μηνυμάτων σε μέσα κοινωνικής δικτύωσης και μηνυμάτων σε chat. Τα μηνύματα phishing περιείχαν κακόβουλα αρχεία (ή link που οδηγούσαν σε κακόβουλα αρχεία), τα οποία μιμούνταν νόμιμα έγγραφα ή εφαρμογές.

Η ομάδα “Desert Falcons” χρησιμοποιεί διάφορες τεχνικές για να δελεάσει τα θύματα της και να τα αναγκάσει να εκτελέσουν τα κακόβουλα αρχεία. Μία από τις πιο χαρακτηριστικές τεχνικές που χρησιμοποιεί η ομάδα είναι το λεγόμενο “Right-to-Left Override”. Η τεχνική αυτή εκμεταλλεύεται έναν ειδικό χαρακτήρα στο Unicode, για να αντιστρέψει τη σειρά των χαρακτήρων στην ονομασία ενός αρχείου, κρύβοντας μια επικίνδυνη επέκταση στη μέση της ονομασίας και τοποθετώντας μία ψεύτικη επέκταση αρχείου, η οποία μοιάζει ακίνδυνη, κοντά στο τέλος της ονομασίας του αρχείου. Χρησιμοποιώντας αυτήν την τεχνική, κακόβουλα αρχεία (.exe, .scr) μοιάζουν με ένα αβλαβές έγγραφο ή αρχείο PDF, ενώ ακόμη και οι προσεκτικοί χρήστες με καλές τεχνικές γνώσεις είναι δυνατό να παρασυρθούν και “τρέξουν” αυτά τα αρχεία. Για παράδειγμα, ένα αρχείο με κατάληξη “.fdp.scr” θα παρουσιαζόταν ως “.rcs.pdf”.

Μετά την επιτυχή “μόλυνση” του θύματος, τα μέλη της ομάδας “Desert Falcons” χρησιμοποιούν ένα από τα δύο διαφορετικά Backdoors, είτε το βασικό Trojan τους ή το DHS Backdoor, τα οποία φαίνεται να έχουν αναπτυχθεί από την αρχή και να βρίσκονται σε συνεχή ανάπτυξη.