Ya no es cuento. Los cibercriminales están entre nosotros, y nos están atacando; nos han declarado la guerra y si no reaccionamos la vamos a perder. Un ejemplo es el descubrimiento hecho por el equipo de Análisis e Investigación Global de Kaspersky Lab, de los “Desert Falcons”, un grupo de espionaje cibernético que ataca a múltiples organizaciones e individuos de alto perfil desde países del medio oriente.
Los expertos de Kaspersky Lab consideran a este actor como el primer grupo árabe de mercenarios cibernéticos que desarrollan y ejecutan operaciones de ciberespionaje de gran escala. Basan sus aseveraciones en lo siguiente: 1) La campaña ha estado activa por al menos dos años. Desert Falcons empezó a desarrollar y construir su operación en 2011, y su principal campaña y principio verdadero de infección comenzó en 2013. El pico de su actividad se registró a principios de 2015; 2)La inmensa mayoría de sus objetivos están en Egipto, Palestina, Israel y Jordania; 3)Además de los países del medio oriente en los que centraron sus objetivos iniciales, Desert Falcons también está cazando fuera del territorio. En suma, ha podido atacar más de 3.000 víctimas en más de 50 países de todo el mundo, con más de un millón de archivos robados; 4)Los atacantes utilizan herramientas maliciosas propietarias para ataques en computadoras con Windows y dispositivos con Android y 5)Los expertos de Kaspersky Lab tienen múltiples razones para creer que los atacantes atrás de Desert Falcons son de lengua madre árabe.
La lista de víctimas selectivas incluyen organizaciones militares y gubernamentales, especialmente empleados responsables de la lucha contra el lavado de dinero así como del sector salud y la economía; principales medios de comunicación; instituciones de investigación y educación; proveedores de energía y servicios públicos; activistas y líderes políticos; compañías de seguridad física; y otros objetivos en posesión de información geopolítica importante.
En total, los expertos de Kaspersky Lab han podido encontrar signos de más de 3.000 víctimas en más de 50 países, y más de un millón de archivos robados. Aunque el principal objetivo de la actividad de Desert Falcons parece centrarse en países como Egipto, Palestina, Israel y Jordania, también se han encontrado múltiples víctimas en Qatar, Arabia Saudita, Emiratos Árabes Unidos, Argelia, Líbano, Noruega, Turquía, Suecia, Francia, Estados Unidos, Rusia y otros países.
Distribuir, Infectar, Espiar
El principal método utilizado por Falcons para distribuir la carga maliciosa es spearphishing a través de correos electrónicos, mensajes de redes sociales y mensajes de chat. Los mensajes de phishing contenían archivos maliciosos (o un enlace a archivos maliciosos) disfrazándose como documentos o aplicaciones legítimos. Desert Falcons utiliza muchas técnicas para atraer a víctimas para que ejecuten los archivos maliciosos. Una de las técnicas más específicas es el truco de ignorar la así llamada extensión derecha a izquierda.
Este método aprovecha un carácter especial en Unicode para invertir el orden de los caracteres en un nombre de archivo, ocultando la peligrosa extensión de archivo en medio del nombre del archivo y colocando una extensión de archivo falsa de aspecto inofensivo hacia el final del nombre de archivo. Utilizando esta técnica, los archivos maliciosos (.exe, .scr) lucirán como un documento inofensivo o archivo PDF; e incluso usuarios cuidadosos con buen conocimiento técnico podrían ser engañados para ejecutar esos archivos. Por ejemplo, un archivo con terminación .fdp.scr aparecerá .rcs.pdf.
Después de la infección exitosa de una víctima, Desert Falcons utilizará una de dos diferentes Puertas Traseras: el Troyano principal de Desert Falcons o la Puerta Trasera DHS, las cuales parecen haber sido desarrolladas a partir de cero y están en continuo desarrollo. Los expertos de Kaspersky Lab pudieron identificar un total de más de 100 muestras de malware utilizadas por el grupo en sus ataques.
Las herramientas maliciosas utilizadas tienen la funcionalidad completa de Puerta Trasera, inclusive la capacidad para tomar capturas de pantalla, registro de teclas pulsadas, carga y descarga de archivos, recopilar información acerca de todos los archivos de Word y Excel del disco duro de la víctima o de los dispositivos USB conectados, robar contraseñas almacenadas en el registro del sistema (Internet Explorer y live Messenger) así como hacer grabaciones de audio. Los expertos de Kaspersky Lab también pudieron encontrar huellas de actividad de un malware que parece ser una Puerta Trasera de Android capaz de robar llamadas de móviles y registros de SMS.
Con el uso de estas herramientas, Desert Falcons lanzó y administró por lo menos tres campañas maliciosas diferentes dirigidas a grupos específicos de víctimas en varios países.
Un grupo de Halcones a la caza de secretos
Los investigadores de Kaspersky Lab estiman que al menos 30 personas, en tres equipos, esparcidos en diferentes países, están operando las campañas de malware de Desert Falcons.
“Los individuos atrás de esta amenaza están sumamente determinados, activos y con mucho conocimiento cultural, político y técnico. Utilizando sólo correos de phishing, ingeniería social y herramientas caseras y Puertas Traseras, los Desert Falcons fueron capaces de infectar cientos de víctimas importantes y sensibles en la región del medio oriente a través de sus sistemas informáticos o dispositivos móviles, y extraer datos confidenciales. Anticipamos que esta operación continuará desarrollando más Troyanos y utilizando más técnicas avanzadas. Con el financiamiento suficiente, podrían quizá ser capaces de adquirir o desarrollar exploits que aumentarían la eficiencia de sus ataques,” dijo Dmitry Bestuzhev, director del equipo de Análisis e Investigación para América Latina en Kaspersky Lab.
Los productos de Kaspersky Lab detectan exitosamente y bloquean el malware utilizado por Desert Falcons. Puede leer más información sobre esta investigación en Securelist.